Шифровальщик по ссылке из письма от имени ФНС

[Noch_Hak]

Доброго здоровья, сегодня прислали письмо, причем Юзеры пересылали меж собой несколько раз, в итоге бух перешел по ссылке из письма.
В результате зашифрован комп и через сетевой диск сервер...

 

PS: Логи делал на сервере, вечером сделаю логи с рабочей станции.

 

Всех сисадминов с праздником!

Addition.txt

CollectionLog_2016.07.26_18.48.zip

FRST.txt

Shortcut.txt

[thyrex]

Логи нужны с компьютера бухгалтера, а не с сервера

[Noch_Hak]

Логи нужны с компьютера бухгалтера, а не с сервера

сервак тоже зашифрован...

[thyrex]

Чтобы не мучать себя и Вас, скажу сразу - с расшифровкой помочь не сможем.

 

Чтобы убедиться, что активного заражения нет, нужны логи с компьютера бухгалтера

[Noch_Hak]

Чтобы не мучать себя и Вас, скажу сразу - с расшифровкой помочь не сможем.

 

Чтобы убедиться, что активного заражения нет, нужны логи с компьютера бухгалтера

 

Удалось по удаленке выгрузить, посмотрите что получилось...

 

Я понимаю, что с этим проблема. К стати прошлый раз специалисты с тех поддержки смогли сделать дешифратор, за что и огромное спасибо! (восстановилось 99,9% информации)

CollectionLog-2016.07.29-23.30.zip

report1.log

report2.log

Изменено 29 июля, 2016 пользователем Noch_Hak

[Roman_Five]

 

 

К стати прошлый раз специалисты с тех поддержки смогли сделать дешифратор

и с тех пор Ваш Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 так и не был апгрейджен до KES 10... ((

здесь надо проверить настройки.
DNS точно вражеский (первый)
надо сменить.
прокси если не ваш - тоже.
 

Interface: "Подключение по локальной сети"
IPAddress = "10.10.9.153"
SubnetMask = "255.255.255.0"
DefaultGateway = "10.10.9.254"
NameServer = "37.10.116.201,8.8.8.8"

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('amsint32', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\tjmpin.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\tjmpin.sys','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteService('amsint32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.

Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.

2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.

3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 2).

[Noch_Hak]

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

 

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

CollectionLog-2016.08.02-14.15.zip

Изменено 2 августа, 2016 пользователем Noch_Hak

[Noch_Hak]

Это ответ https://companyaccount.kaspersky.com

Reply to customer

Александр, здравствуйте!
Мы провели анализ предоставленных Вами файлов.
Анализ показал, что файлы зашифрованы модификацией Trojan-Ransom.Win32.Cryakl. .

Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов на данный момент, к сожалению, не представляется возможной.
Мы продолжаем работы по расшифровке. В случае успеха декриптор будет предоставлен в рамках запроса.

Изменено 2 августа, 2016 пользователем Noch_Hak

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Noch_Hak]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

 

Logger.rar

Изменено 3 августа, 2016 пользователем Noch_Hak

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

Tcpip\..\Interfaces\{67DEBFF1-497A-449A-A6FF-E2456520053A}: [NameServer] 37.10.116.201,8.8.8.8
URLSearchHook: [S-1-5-21-1801674531-606747145-682003330-1003] ATTENTION => Default URLSearchHook is missing
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} -  No File
CHR HKLM\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll => No File
CHR Plugin: (Java(TM) Platform SE 7 U25) - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll => No File
CHR Plugin: (Java Deployment Toolkit 7.0.250.17) - C:\WINDOWS\system32\npDeployJava1.dll => No File
U2 CertPropSvc; no ImagePath
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

продублирую, раз игнорите.

 

и с тех пор Ваш Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 так и не был апгрейджен до KES 10... ((

[Noch_Hak]

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

Tcpip\..\Interfaces\{67DEBFF1-497A-449A-A6FF-E2456520053A}: [NameServer] 37.10.116.201,8.8.8.8
URLSearchHook: [S-1-5-21-1801674531-606747145-682003330-1003] ATTENTION => Default URLSearchHook is missing
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1801674531-606747145-682003330-1003 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} -  No File
CHR HKLM\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\44.0.2403.125\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll => No File
CHR Plugin: (Java(TM) Platform SE 7 U25) - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll => No File
CHR Plugin: (Java Deployment Toolkit 7.0.250.17) - C:\WINDOWS\system32\npDeployJava1.dll => No File
U2 CertPropSvc; no ImagePath
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

продублирую, раз игнорите.

 

 

и с тех пор Ваш Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 так и не был апгрейджен до KES 10... ((

 

Нет, я не игнорировал вопрос. Если вежливо то просто не допускали до этого компьютера, как говорится нет взаимопонимания между мной, замом руководителя, начальником бухов и моим начальником. Что вылилось в три попытки самому уволиться и три раза пытались сократить. Вот и результат, что бух ткнул кудато, а я крайний... 

Как обычно куча обязанностей т.к. у компьютерщика всегда работы нет!

Fixlog.txt

[thyrex]

Мусор вычистили. Остальное не в наших силах

[Noch_Hak]

Мусор вычистили. Остальное не в наших силах

СПАСИБО! можете посмотреть с моего ПК мусор?

а то пока я в отпуске был на нем работал другой человек, за ранее благодарен

CollectionLog-2016.08.03-09.33.zip

Addition.txt

FRST.txt

Shortcut.txt

[Noch_Hak]

Доброго дня, периодически мне на почту сыпется архивы и ссылки, в последнем прислали вирус "Trojan-Downloader.JS.Agent.mbg" кому то так заинтересовала инфа с моего компьютера....