Вирус зашифровал файлы, пользуемся корпоративным KES10 Лицензия на 41 машину

[Александр Самуйлин 0]

Доброе время. Мы обладатели лицензии KES10  на 41 машину, можем предоставить всю информацию о лицензии. У нас сотрудник скачал файл и зашифровал рабочую станцию . Расшифровать утилитами которое у вас есть на сайте пробовали но без результативно . 2 программы утилиты не видят нечего а 2 утилита видит и даже находит проблему но расшифровать не получается . В данном письме прикреплены файлы. 

 

1 - Зашифрованный документ вирусом (Невозможно прикрепить, Скопировали название файла. )

RrOyQ2u9IC-nNd+EZnJlrt3xu+KLH8fE0SAsolfMVO3QWlxcJr8pbfaX6iNpNvQ+aY3Ah+m9hy34K8Ydf52CRvwrLeb-8KEMDq2R-bl7txZGaFpujDCj7wCo-78tEG+EyP85R-BqCRH48G5cD26N5IlMT7o58VO4BmkFJQXTZjY=.C4FBBABD850E37AE19E3.da_vinci_code 

 

2 - Текст вымогателя который просит денег и инструкцию что надо и куда 

 

3 - Файл проверки утилитой RectorDecryptor.exe  ( Файл много весит не возможно прикрепить, Скопировали текст проверки )

 

08:44:22.0704 0x10e4  Trojan-Ransom.Win32.Rector decryptor tool 2.7.0.0 Dec  4 2015 12:04:59

08:44:22.0720 0x10e4  ============================================================

08:44:22.0720 0x10e4  Current date / time: 2016/10/13 08:44:22.0720

08:44:22.0720 0x10e4  SystemInfo:

08:44:22.0720 0x10e4  

08:44:22.0720 0x10e4  OS Version: 6.1.7601 ServicePack: 1.0

08:44:22.0720 0x10e4  Product type: Workstation

08:44:22.0720 0x10e4  ComputerName: TOSHIBA

08:44:22.0720 0x10e4  UserName: Наталья

08:44:22.0720 0x10e4  Windows directory: C:\Windows

08:44:22.0720 0x10e4  System windows directory: C:\Windows

08:44:22.0720 0x10e4  Running under WOW64

08:44:22.0720 0x10e4  Processor architecture: Intel x64

08:44:22.0720 0x10e4  Number of processors: 4

08:44:22.0720 0x10e4  Page size: 0x1000

08:44:22.0720 0x10e4  Boot type: Normal boot

08:44:22.0720 0x10e4  ============================================================

08:44:22.0720 0x10e4  Initialize success

08:44:25.0075 0x0380  ProcessDriveEnumEx: Drive C:\ type 3:0

08:44:25.0871 0x0380  Found suspicious file: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\0ZTlrhfvzNoR2+fyypx6Fdi0m8DnLDUMudLPCQpnfLk=.C4FBBABD850E37AE19E3.da_vinci_code

08:44:25.0871 0x0380  Warning! File \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\0ZTlrhfvzNoR2+fyypx6Fdi0m8DnLDUMudLPCQpnfLk=.C4FBBABD850E37AE19E3.da_vinci_code has unsupported format for key check.

08:44:25.0871 0x0380  This file is not recognized as Trojan-Ransom.Win32.Rector, file path: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\0ZTlrhfvzNoR2+fyypx6Fdi0m8DnLDUMudLPCQpnfLk=.C4FBBABD850E37AE19E3.da_vinci_code

08:44:25.0871 0x0380  Found suspicious file: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\44TaNbx78coV0E+rS2yqdcVK2CtmOLK8Oq5lDZ7Q2B8=.C4FBBABD850E37AE19E3.da_vinci_code

08:44:25.0871 0x0380  Warning! File \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\44TaNbx78coV0E+rS2yqdcVK2CtmOLK8Oq5lDZ7Q2B8=.C4FBBABD850E37AE19E3.da_vinci_code has unsupported format for key check.

08:44:25.0871 0x0380  This file is not recognized as Trojan-Ransom.Win32.Rector, file path: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\44TaNbx78coV0E+rS2yqdcVK2CtmOLK8Oq5lDZ7Q2B8=.C4FBBABD850E37AE19E3.da_vinci_code

08:44:25.0871 0x0380  Found suspicious file: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\g7BtVGBilHXkdpN98k+H679cJn7df1A53iMf-Pvk5po=.C4FBBABD850E37AE19E3.da_vinci_code

08:44:25.0871 0x0380  Warning! File \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\g7BtVGBilHXkdpN98k+H679cJn7df1A53iMf-Pvk5po=.C4FBBABD850E37AE19E3.da_vinci_code has unsupported format for key check.

08:44:25.0871 0x0380  This file is not recognized as Trojan-Ransom.Win32.Rector, file path: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\g7BtVGBilHXkdpN98k+H679cJn7df1A53iMf-Pvk5po=.C4FBBABD850E37AE19E3.da_vinci_code

08:44:25.0871 0x0380  Found suspicious file: \\?\C:\ProgramData\Alawar Stargaze\Treasures of Montezuma 2\saves\7DXK+gM+82G+oM267s3xEnnlwlmnSHlPdwVOQDAJ3GM=.C4FBBABD850E37AE19E3.da_vinci_code

08:44:25.0871 0x0380  Warning! File \\?\C:\ProgramData\Alawar Stargaze\Treasures of Montezuma 2\saves\7DXK+gM+82G+oM267s3xEnnlwlmnSHlPdwVOQDAJ3GM=.C4FBBABD850E37AE19E3.da_vinci_code has unsupported format for key check.

 

Спасибо за внимание, Ждем ответа. 

README9.txt

Изменено 13 октября, 2016 пользователем Александр Самуйлин

[Sandor 1 286]

Здравствуйте!

 

Сообщите, была ли включена эта настройка на момент заражения?

 

Прочтите и выполните Порядок оформления запроса о помощи

[Александр Самуйлин 0]

В данный момент я не могу сказать  пользователь уверяет что нечего не трогал и все было активно. Но как системный администратор мало в это верю . Возможно отключил защиту чтоб ускорить работу компьютера .  

 

P.S. К вашему продукту претензий не имеем . 

Изменено 13 октября, 2016 пользователем Александр Самуйлин

[Sandor 1 286]

К указанной настройке пользователь как раз отношения не имеет. Она должна быть сделана в KSC.

Ждем логи.

[Александр Самуйлин 0]

Лог

CollectionLog-2016.10.13-11.09.zip

[Sandor 1 286]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\programdata\csrss\csrss.exe', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\programdata\csrss\csrss.exe', '32');
 DeleteFile('c:\programdata\drivers\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Александр Самуйлин 0]

KLAN-5163827970

 

csrss.exe - Trojan-Ransom.Win32.Shade.kwq

csrss_0.exe - Trojan.Win32.Agent.nevnwq
csrss_1.exe - Trojan.Win32.Agent.neumtu

CollectionLog-2016.10.13-14.17.zip

Изменено 13 октября, 2016 пользователем Александр Самуйлин

[Sandor 1 286]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Александр Самуйлин 0]

.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor 1 286]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3685449088-1918062844-3588974863-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-10-11 16:38 - 2016-10-11 16:38 - 00928549 _____ C:\Users\Наталья\AppData\Roamingkes.exe
2016-10-11 16:18 - 2016-10-13 11:46 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-10-11 16:18 - 2016-10-13 11:46 - 00000000 __SHD C:\ProgramData\Csrss
2016-10-11 16:13 - 2016-10-11 16:13 - 03148854 _____ C:\Users\Наталья\AppData\Roaming\DC3CED13DC3CED13.bmp
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README9.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README8.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README7.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README6.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README5.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README4.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README3.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README2.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README10.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README1.txt
2016-10-11 15:48 - 2016-10-11 16:18 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-11 15:48 - 2016-10-11 16:18 - 00000000 __SHD C:\ProgramData\System32
2016-10-11 15:47 - 2016-10-13 11:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-11 15:47 - 2016-10-13 11:46 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Наталья\AppData\Local\Temp\5264CB3C.exe
C:\Users\Наталья\AppData\Local\Temp\7C002238.exe
C:\Users\Наталья\AppData\Local\Temp\vn8fzfsi.dll
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Александр Самуйлин 0]

.

Fixlog.txt

[Sandor 1 286]

Пишите запрос на расшифровку.

[Александр Самуйлин 0]

Написал в тех поддержку. № запроса INC000006817992. Жду ответа от них ? 

Изменено 14 октября, 2016 пользователем Александр Самуйлин

[Sandor 1 286]

Конечно.

[Александр Самуйлин 0]

Спасибо большое за помощь )