Запустили вирус из почты, все файлы получили расширение .locked

[ekalmykov]

Добрый день.
Юзер получил вредоносное письмо  и не предупредив открыл вложение.
Вложение было в виде скрипта .js после чего многие файлы получили расширение .locked.
Нашли компьютер, с которого было произведен запуск и заражение.
(во вложении virus.zip (пароль - virus) архив с исходным письмом + пару зараженных файлов для примера)
Также во вложении лог сканирования от AdwCleaner.
Самое грустное, что в сети есть "Общая папка", куда все пользователи скидывали свои документы (word, excel, pdf), и куда был доступ на запись, соответственно все файлы в общей папке тоже залочены. Юзерам пока дана команда ничего там не трогать и не пытаться запускать\скопировать к себе. Можно ли как-то восстановить эти данные? Другие компьютеры пока не пострадали.

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не прикрепляйте вредоносные файлы на форум.

AdwCleanerS0.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[ekalmykov]

Порядок оформления запроса о помощи

Извиняюсь, думал это как-то поможет быстрее. Автоматический сборщик логов уже запустил, как закончит - выложу архив

Логи от AutoLogger.

CollectionLog-2016.09.19-13.20.zip

Изменено 19 сентября, 2016 пользователем ekalmykov

[Sandor]

Здравствуйте!

 

Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode with Networking)

Почему? В обычном режиме не запускается?

[ekalmykov]

Здравствуйте!

 

Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode with Networking)

Почему? В обычном режиме не запускается?

 

Запускается, но я через безопасный режим запускал KVRT.exe, чтобы найти все угрозы наверняка.

[Mark D. Pearlstone]

@ekalmykov, сделайте отчёт в обычном режиме.

[ekalmykov]

@ekalmykov, сделайте отчёт в обычном режиме.

сделал.

CollectionLog-2016.09.19-14.14.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе (2).lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мail.Ru.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа (2).lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlorеr (64-bit).lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxрlorеr (Nо Аdd-ons).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Орerа.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 DeleteFile('C:\Users\admin\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Users\admin\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Users\admin\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
ExecuteSysClean;
 ExecuteRepair(5);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
  • Политики IE
  • Политики Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[ekalmykov]

Ответ:

 

 

Re: locked virus - help [KLAN-5040281405]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

Gооgle Chrоme.lnk,
Lаunch Internet Ехрlоrеr Вrоwser.lnk,
Gоoglе Chromе (2).lnk,
Gоoglе Chromе.lnk,
Мail.Ru.lnk,
Оperа (2).lnk,
Оperа.lnk,
Intеrnеt Eхplorеr.lnk,
Intеrnеt Eхрlorеr (64-bit).lnk,
Intеrnet Еxрlorеr (Nо Аdd-ons).lnk,
Орerа.lnk,
exe.emorhc.bat,
exe.erolpxei.bat,
exe.rehcnual.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
С уважением, Лаборатория Касперского

 

после окончания скана и удаления в adwclenaer - приложу отчет от него

ClearLNK-19.09.2016_15-09.log

AdwCleanerC0.txt

Изменено 19 сентября, 2016 пользователем ekalmykov

[ekalmykov]

А дальше я жду еще каких-то инструкций или ответа?

[Sandor]

Извините, упустил Вашу тему.

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ekalmykov]

сделал

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
() C:\mtcj75r3.exe
() C:\Users\ekalmykov\AppData\Local\Temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\7ZZU4ftZG1cbdyI.exe
() C:\Users\ekalmykov\AppData\Local\Temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\1hf5CInsUnkkK.exe
() C:\Users\ekalmykov\AppData\Local\Temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\3RrS6lIXBDLQ.exe
Toolbar: HKU\S-1-5-21-1250856160-2507889191-2653984201-2108 -> No Name - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} -  No File
CHR Extension: (Стартовая — Яндекс) - C:\Users\ekalmykov\AppData\Local\Google\Chrome\User Data\Default\Extensions\hpcghcdjnehpkdecaflpedhklimnejia [2016-09-19]
CHR Extension: (Яндекс) - C:\Users\ekalmykov\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkfblcbjfojmgagikhldeppgmgdpjkpl [2016-09-19]
C:\Users\admin\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\admin\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\admin\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Yfateeva\AppData\Local\Temp\c3lcxdx2.dll
C:\Users\Yfateeva\AppData\Local\Temp\HgtlolylmsqXWEgWQfBF.DLL
C:\Users\Yfateeva\AppData\Local\Temp\HxNDjaPdkF.DLL
C:\Users\Yfateeva\AppData\Local\Temp\kloffpwTxSCtJLkxGYod.DLL
C:\Users\Yfateeva\AppData\Local\Temp\qqorwzty.dll
C:\Users\Yfateeva\AppData\Local\Temp\{AC2F4C76-594E-4AC3-BF86-49CC5B44D3F6}.exe
2016-09-22 13:18 - 2016-09-22 13:18 - 142954744 _____ () C:\mtcj75r3.exe
2016-09-22 13:19 - 2016-09-22 13:19 - 02272440 _____ () c:\users\ekalmykov\appdata\local\temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\7ZZU4ftZG1cbdyI.exe
2016-09-22 13:19 - 2016-09-22 13:19 - 07381976 _____ () c:\users\ekalmykov\appdata\local\temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\1hf5CInsUnkkK.exe
2016-09-22 13:19 - 2016-09-22 13:19 - 00680752 _____ () c:\users\ekalmykov\appdata\local\temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\3RrS6lIXBDLQ.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ekalmykov]

сделал. прошу прощения за такую задержку.

Fixlog.txt

[Sandor]

Адварь и следы вымогателя очищены. С расшифровкой, к сожалению, помочь не сможем.