ransom.shade Da Vinchi пойман из почты

1 июля, 2016

Доброго времени!

Всё очень кратенько. 27 июНя Бухгалтеру пришло письмо с темой "Претензия" с вложением формата *.gz. Открыла... ну а дальше наверное смысла объяснять нет. Хотя обмолвлюсь о том, что база 1С, которая в тот момент была открыта - живая! Видимо блокировка помогла. Всё остальное зашифровано.

Dr.Web CureIt нашёл 9 угроз

KVRT нашёл 10 угроз

Пока ничего не удалял вообще.

Письмо скорее всего не перешлётся, т.к. заблочено, а вот само вложение можно будет достать.

Заранее спасибо!

CollectionLog-2016.07.01-11.00.zip

1 июля, 2016

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\all users\application data\drivers\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\csrss\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '');
 DeleteFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Интернет

Служба автоматического обновления программ

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 1 июля, 2016 пользователем Sandor

1 июля, 2016

KLAN-4564154378

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe - Trojan.Win32.Agent.neumtu
csrss_0.exe - Trojan-Ransom.Win32.Shade.xy
csrss_1.exe - Trojan.Win32.Agent.nevnwq

CollectionLog-2016.07.01-12.21.zip

1 июля, 2016

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

1 июля, 2016

Вот

Addition.txt

FRST.txt

Shortcut.txt

1 июля, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-06-27 14:00 - 2016-07-01 11:41 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Csrss
2016-06-27 13:52 - 2016-06-27 13:52 - 02359350 _____ C:\Documents and Settings\user\Application Data\2AD6C3092AD6C309.bmp
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README9.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README8.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README7.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README6.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README5.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README4.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README3.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README2.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README10.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\user\Рабочий стол\README1.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-06-27 13:52 - 2016-06-27 13:52 - 00002730 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README9.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README8.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README7.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README6.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README5.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README4.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README3.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README2.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README10.txt
2016-06-27 12:44 - 2016-06-27 12:44 - 00002730 _____ C:\README1.txt
2016-06-27 12:34 - 2016-07-01 11:41 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

1 июля, 2016

Исчезли все файлы README1-N.txt + фон рабочего стола с "инструкциями по обезвреживанию"!

Fixlog.txt

1 июля, 2016

На этом все.

За расшифровкой обращайтесь в тех-поддержку Вашего антивируса (при наличии лицензии на него).

1 июля, 2016

А если лицензии нет? Провал? Или всё-таки можно что-то сделать?

Изменено 1 июля, 2016 пользователем pupking

1 июля, 2016

Боюсь, что и при наличии лицензии с расшифровкой не помогут. Кстати, версия антивируса устаревшая, потому и пропустил.

+

Для проверки уязвимых мест:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

ransom.shade Da Vinchi пойман из почты

Рекомендуемые сообщения

pupking

Sandor

pupking

Sandor

pupking

Sandor

pupking

Sandor

pupking

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum