Trojan.Encoder.741 - троян зашифровал файлы

[gamernet]

На операционной системе Windows 2003 Server троян зашифровал файлы и теперь они имеют вид:

email-agent.vayne@india.com.ver-CL 1.2.0.0.id-LDPATEOZJUFPBLWGRCLWHRCNXISDNXITDOYJ-31.07.2016 7@44@38915709.randomname-ATFPQBMXJUFQBMXITEPALWHSDOZKVG.YKU.cbf

 

Я полагаю, что это Trojan.Encoder.741

 

Чем можно расшифровать файлы?

 

Как можно убрать надпись с рабочего стола о том, что необходимо отослать на почту образец?

 

(качал rectordecryptor.exe и RannohDecryptor.exe - к сожалению не помогли)

[mike 1]

Нет, это другой шифровальщик.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[gamernet]

а какой именно? по ссылке не понял, как узнать шифровальщик.

 

Подскажите, как расшифровать файлы? Как удалить банер?

[mike 1]

 

 

Как удалить банер?

Логи Автологгером сделайте и прикрепите к сообщению.

 

 

 

а какой именно? 

Trojan.Encoder.567/Trojan-Ransom.Win32.Cryakl

[gamernet]

К сожалению мне нельзя перезагружать сервер сегодня, поэтому собрать логи не получится (

 

По поводу Trojan.Encoder.567/Trojan-Ransom.Win32.Cryakl ничего дельного не нашел. Нашел кривую утилиту под названием RannohDecryptor.zip , в ней указано: укажите зашифрованный файл и оригинал... Гдеж я возьму оригинал, если он зашифрованный ))) Если будет оригинал, зачем мне тогда утилита для расшифровки )) Улыбнуло...

 

Есть варианты по расшифровке такого типа файлов?

[mike 1]

 

 

К сожалению мне нельзя перезагружать сервер сегодня, поэтому собрать логи не получится (

Сделайте тогда этот лог. uVS перезагрузка не требуется.

 

• Скачайте Universal Virus Sniffer (uVS)

• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

•  

 

[gamernet]

Прикрепил файл. Действительно, сама программа упаковала файлы.

 

П.С. А можно как-то хотя-бы остановить процесс заражения? Ничего на сервере не делал (не удалял ничего). Боюсь что файлы по прежнему заражаются. И какие следующие действия мне необходимо предпринять?

SERVER_2016-08-02_13-40-35.7z

[mike 1]

Папку C:\USERS\БУХГАЛТЕР\APPDATA\ROAMING\INTEL удалите вручную.

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[gamernet]

Папку INTEL точно можно удалить? (Там в ней масса приложений и библиотек dll). Ничего не слетит?

 

2 файла прикрепил ниже.

Addition.txt

FRST.txt

[mike 1]

Папку INTEL точно можно удалить? (Там в ней масса приложений и библиотек dll). Ничего не слетит?

Точно. 

 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
Startup: C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1C Предприятие.lnk [2016-07-02]
ShortcutTarget: 1C Предприятие.lnk -> C:\Users\Администратор\AppData\Roaming\Intel\srvany.exe (No File)
2016-07-31 07:47 - 2016-07-31 07:47 - 00927422 _____ C:\Users\Бухгалтер\AppData\Local\Temp\desk.bmp
2016-07-31 07:44 - 2016-07-31 07:47 - 00000079 _____ C:\Users\Бухгалтер\AppData\Local\Temp\PMGCDDYLMW.IMX
Folder: C:\Users\Бухгалтер\AppData\Local\Temp\

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[gamernet]

На рабочий стол не создался архив. Только в директории Fixlog.txt, который прикрепил ниже.

Папку Intel не удается удалить. На данном сервере через RDP сидят пользователи. Надпись на рабочем столе появилась у пользователя Бухгалтер. У нее та как раз и зашифровались файлы. Проверил содержимое папки Intel учетной записи Бухгалтер и обнаружил файл под именем srvany.exe, который и висит в процессе. (Не знаю, может это важно...)

Fixlog.txt

[mike 1]

 

 

Проверил содержимое папки Intel учетной записи Бухгалтер и обнаружил файл под именем srvany.exe, который и висит в процессе.

Процесс завершите, а потом попробуйте удалить папку. Если не получится, то придется скриптом убивать, но потребуется перезагрузка сервера. Еще спросите у бухгалтера, что она запускала 31 июля в 7:40 утра? 

[gamernet]

А как расшифровать файлы?

Бухгалтер ничего не запускал в такое время, так как у нее рабочий день с 09:00 и охрана пропускает только с 08:00 в здание.

[mike 1]

Значит к вам удаленно зашли через RDP. В логах сервера смотрите что запускали. Без помощи злодеев на данный момент никак.

[gamernet]

т.е. файлы не расшифровать? и в любом случае придется платить?