Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Запустили вирус из почты, все файлы получили расширение .locked

ekalmykov
 Поделиться

Рекомендуемые сообщения

ekalmykov

ekalmykov

Опубликовано
Опубликовано

Добрый день.
Юзер получил вредоносное письмо  и не предупредив открыл вложение.
Вложение было в виде скрипта .js после чего многие файлы получили расширение .locked.
Нашли компьютер, с которого было произведен запуск и заражение.
(во вложении virus.zip (пароль - virus) архив с исходным письмом + пару зараженных файлов для примера)
Также во вложении лог сканирования от AdwCleaner.
Самое грустное, что в сети есть "Общая папка", куда все пользователи скидывали свои документы (word, excel, pdf), и куда был доступ на запись, соответственно все файлы в общей папке тоже залочены. Юзерам пока дана команда ничего там не трогать и не пытаться запускать\скопировать к себе. Можно ли как-то восстановить эти данные? Другие компьютеры пока не пострадали.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не прикрепляйте вредоносные файлы на форум.

AdwCleanerS0.txt

ekalmykov

ekalmykov

Опубликовано
  • Автор
Опубликовано (изменено)

Извиняюсь, думал это как-то поможет быстрее. Автоматический сборщик логов уже запустил, как закончит - выложу архив

Логи от AutoLogger.

CollectionLog-2016.09.19-13.20.zip

Изменено пользователем ekalmykov
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode with Networking)

Почему? В обычном режиме не запускается?
ekalmykov

ekalmykov

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode with Networking)

Почему? В обычном режиме не запускается?

 

Запускается, но я через безопасный режим запускал KVRT.exe, чтобы найти все угрозы наверняка.

Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе (2).lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мail.Ru.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа (2).lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlorеr (64-bit).lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxрlorеr (Nо Аdd-ons).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Орerа.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 DeleteFile('C:\Users\admin\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Users\admin\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Users\admin\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
ExecuteSysClean;
 ExecuteRepair(5);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
    • Политики IE
    • Политики Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

ekalmykov

ekalmykov

Опубликовано
  • Автор
Опубликовано (изменено)

Ответ:

 

 

Re: locked virus - help [KLAN-5040281405]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

Gооgle Chrоme.lnk,
Lаunch Internet Ехрlоrеr Вrоwser.lnk,
Gоoglе Chromе (2).lnk,
Gоoglе Chromе.lnk,
Мail.Ru.lnk,
Оperа (2).lnk,
Оperа.lnk,
Intеrnеt Eхplorеr.lnk,
Intеrnеt Eхрlorеr (64-bit).lnk,
Intеrnet Еxрlorеr (Nо Аdd-ons).lnk,
Орerа.lnk,
exe.emorhc.bat,
exe.erolpxei.bat,
exe.rehcnual.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
С уважением, Лаборатория Касперского

 

после окончания скана и удаления в adwclenaer - приложу отчет от него

ClearLNK-19.09.2016_15-09.log

AdwCleanerC0.txt

Изменено пользователем ekalmykov
Sandor

Sandor

Опубликовано
Опубликовано

Извините, упустил Вашу тему.

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
() C:\mtcj75r3.exe
() C:\Users\ekalmykov\AppData\Local\Temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\7ZZU4ftZG1cbdyI.exe
() C:\Users\ekalmykov\AppData\Local\Temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\1hf5CInsUnkkK.exe
() C:\Users\ekalmykov\AppData\Local\Temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\3RrS6lIXBDLQ.exe
Toolbar: HKU\S-1-5-21-1250856160-2507889191-2653984201-2108 -> No Name - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} -  No File
CHR Extension: (Стартовая — Яндекс) - C:\Users\ekalmykov\AppData\Local\Google\Chrome\User Data\Default\Extensions\hpcghcdjnehpkdecaflpedhklimnejia [2016-09-19]
CHR Extension: (Яндекс) - C:\Users\ekalmykov\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkfblcbjfojmgagikhldeppgmgdpjkpl [2016-09-19]
C:\Users\admin\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\admin\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\admin\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Yfateeva\AppData\Local\Temp\c3lcxdx2.dll
C:\Users\Yfateeva\AppData\Local\Temp\HgtlolylmsqXWEgWQfBF.DLL
C:\Users\Yfateeva\AppData\Local\Temp\HxNDjaPdkF.DLL
C:\Users\Yfateeva\AppData\Local\Temp\kloffpwTxSCtJLkxGYod.DLL
C:\Users\Yfateeva\AppData\Local\Temp\qqorwzty.dll
C:\Users\Yfateeva\AppData\Local\Temp\{AC2F4C76-594E-4AC3-BF86-49CC5B44D3F6}.exe
2016-09-22 13:18 - 2016-09-22 13:18 - 142954744 _____ () C:\mtcj75r3.exe
2016-09-22 13:19 - 2016-09-22 13:19 - 02272440 _____ () c:\users\ekalmykov\appdata\local\temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\7ZZU4ftZG1cbdyI.exe
2016-09-22 13:19 - 2016-09-22 13:19 - 07381976 _____ () c:\users\ekalmykov\appdata\local\temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\1hf5CInsUnkkK.exe
2016-09-22 13:19 - 2016-09-22 13:19 - 00680752 _____ () c:\users\ekalmykov\appdata\local\temp\BE716370-D16DBFB0-41CF0090-45DB7BE0\3RrS6lIXBDLQ.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Адварь и следы вымогателя очищены. С расшифровкой, к сожалению, помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...