Перейти к содержанию

Вирус зашифровал файлы, пользуемся корпоративным KES10 Лицензия на 41 машину


Рекомендуемые сообщения

Александр Самуйлин
Опубликовано (изменено)

Доброе время. Мы обладатели лицензии KES10  на 41 машину, можем предоставить всю информацию о лицензии. У нас сотрудник скачал файл и зашифровал рабочую станцию . Расшифровать утилитами которое у вас есть на сайте пробовали но без результативно . 2 программы утилиты не видят нечего а 2 утилита видит и даже находит проблему но расшифровать не получается . В данном письме прикреплены файлы. 

 

1 - Зашифрованный документ вирусом (Невозможно прикрепить, Скопировали название файла. )

RrOyQ2u9IC-nNd+EZnJlrt3xu+KLH8fE0SAsolfMVO3QWlxcJr8pbfaX6iNpNvQ+aY3Ah+m9hy34K8Ydf52CRvwrLeb-8KEMDq2R-bl7txZGaFpujDCj7wCo-78tEG+EyP85R-BqCRH48G5cD26N5IlMT7o58VO4BmkFJQXTZjY=.C4FBBABD850E37AE19E3.da_vinci_code 

 

2 - Текст вымогателя который просит денег и инструкцию что надо и куда 

 

3 - Файл проверки утилитой RectorDecryptor.exe  ( Файл много весит не возможно прикрепить, Скопировали текст проверки )

 

08:44:22.0704 0x10e4  Trojan-Ransom.Win32.Rector decryptor tool 2.7.0.0 Dec  4 2015 12:04:59

08:44:22.0720 0x10e4  ============================================================
08:44:22.0720 0x10e4  Current date / time: 2016/10/13 08:44:22.0720
08:44:22.0720 0x10e4  SystemInfo:
08:44:22.0720 0x10e4  
08:44:22.0720 0x10e4  OS Version: 6.1.7601 ServicePack: 1.0
08:44:22.0720 0x10e4  Product type: Workstation
08:44:22.0720 0x10e4  ComputerName: TOSHIBA
08:44:22.0720 0x10e4  UserName: Наталья
08:44:22.0720 0x10e4  Windows directory: C:\Windows
08:44:22.0720 0x10e4  System windows directory: C:\Windows
08:44:22.0720 0x10e4  Running under WOW64
08:44:22.0720 0x10e4  Processor architecture: Intel x64
08:44:22.0720 0x10e4  Number of processors: 4
08:44:22.0720 0x10e4  Page size: 0x1000
08:44:22.0720 0x10e4  Boot type: Normal boot
08:44:22.0720 0x10e4  ============================================================
08:44:22.0720 0x10e4  Initialize success
08:44:25.0075 0x0380  ProcessDriveEnumEx: Drive C:\ type 3:0
08:44:25.0871 0x0380  Found suspicious file: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\0ZTlrhfvzNoR2+fyypx6Fdi0m8DnLDUMudLPCQpnfLk=.C4FBBABD850E37AE19E3.da_vinci_code
08:44:25.0871 0x0380  Warning! File \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\0ZTlrhfvzNoR2+fyypx6Fdi0m8DnLDUMudLPCQpnfLk=.C4FBBABD850E37AE19E3.da_vinci_code has unsupported format for key check.
08:44:25.0871 0x0380  This file is not recognized as Trojan-Ransom.Win32.Rector, file path: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\0ZTlrhfvzNoR2+fyypx6Fdi0m8DnLDUMudLPCQpnfLk=.C4FBBABD850E37AE19E3.da_vinci_code
08:44:25.0871 0x0380  Found suspicious file: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\44TaNbx78coV0E+rS2yqdcVK2CtmOLK8Oq5lDZ7Q2B8=.C4FBBABD850E37AE19E3.da_vinci_code
08:44:25.0871 0x0380  Warning! File \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\44TaNbx78coV0E+rS2yqdcVK2CtmOLK8Oq5lDZ7Q2B8=.C4FBBABD850E37AE19E3.da_vinci_code has unsupported format for key check.
08:44:25.0871 0x0380  This file is not recognized as Trojan-Ransom.Win32.Rector, file path: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\44TaNbx78coV0E+rS2yqdcVK2CtmOLK8Oq5lDZ7Q2B8=.C4FBBABD850E37AE19E3.da_vinci_code
08:44:25.0871 0x0380  Found suspicious file: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\g7BtVGBilHXkdpN98k+H679cJn7df1A53iMf-Pvk5po=.C4FBBABD850E37AE19E3.da_vinci_code
08:44:25.0871 0x0380  Warning! File \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\g7BtVGBilHXkdpN98k+H679cJn7df1A53iMf-Pvk5po=.C4FBBABD850E37AE19E3.da_vinci_code has unsupported format for key check.
08:44:25.0871 0x0380  This file is not recognized as Trojan-Ransom.Win32.Rector, file path: \\?\C:\ProgramData\Alawar Stargaze\MasyanyasAfricanAdventures\saves\g7BtVGBilHXkdpN98k+H679cJn7df1A53iMf-Pvk5po=.C4FBBABD850E37AE19E3.da_vinci_code
08:44:25.0871 0x0380  Found suspicious file: \\?\C:\ProgramData\Alawar Stargaze\Treasures of Montezuma 2\saves\7DXK+gM+82G+oM267s3xEnnlwlmnSHlPdwVOQDAJ3GM=.C4FBBABD850E37AE19E3.da_vinci_code
08:44:25.0871 0x0380  Warning! File \\?\C:\ProgramData\Alawar Stargaze\Treasures of Montezuma 2\saves\7DXK+gM+82G+oM267s3xEnnlwlmnSHlPdwVOQDAJ3GM=.C4FBBABD850E37AE19E3.da_vinci_code has unsupported format for key check.
 
Спасибо за внимание, Ждем ответа. 

README9.txt

Изменено пользователем Александр Самуйлин
Александр Самуйлин
Опубликовано (изменено)

В данный момент я не могу сказать  пользователь уверяет что нечего не трогал и все было активно. Но как системный администратор мало в это верю . Возможно отключил защиту чтоб ускорить работу компьютера .  

 

P.S. К вашему продукту претензий не имеем . 

Изменено пользователем Александр Самуйлин
Опубликовано

К указанной настройке пользователь как раз отношения не имеет. Она должна быть сделана в KSC.

Ждем логи.

Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\programdata\csrss\csrss.exe', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\programdata\csrss\csrss.exe', '32');
 DeleteFile('c:\programdata\drivers\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Александр Самуйлин
Опубликовано (изменено)

KLAN-5163827970

 

csrss.exe - Trojan-Ransom.Win32.Shade.kwq

csrss_0.exe - Trojan.Win32.Agent.nevnwq
csrss_1.exe - Trojan.Win32.Agent.neumtu

CollectionLog-2016.10.13-14.17.zip

Изменено пользователем Александр Самуйлин
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3685449088-1918062844-3588974863-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-10-11 16:38 - 2016-10-11 16:38 - 00928549 _____ C:\Users\Наталья\AppData\Roamingkes.exe
2016-10-11 16:18 - 2016-10-13 11:46 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-10-11 16:18 - 2016-10-13 11:46 - 00000000 __SHD C:\ProgramData\Csrss
2016-10-11 16:13 - 2016-10-11 16:13 - 03148854 _____ C:\Users\Наталья\AppData\Roaming\DC3CED13DC3CED13.bmp
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README9.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README8.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README7.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README6.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README5.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README4.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README3.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README2.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README10.txt
2016-10-11 16:13 - 2016-10-11 16:13 - 00004202 _____ C:\Users\Наталья\Desktop\README1.txt
2016-10-11 15:48 - 2016-10-11 16:18 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-11 15:48 - 2016-10-11 16:18 - 00000000 __SHD C:\ProgramData\System32
2016-10-11 15:47 - 2016-10-13 11:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-11 15:47 - 2016-10-13 11:46 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Наталья\AppData\Local\Temp\5264CB3C.exe
C:\Users\Наталья\AppData\Local\Temp\7C002238.exe
C:\Users\Наталья\AppData\Local\Temp\vn8fzfsi.dll
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Александр Самуйлин
Опубликовано (изменено)

Написал в тех поддержку. № запроса INC000006817992. Жду ответа от них ? 

Изменено пользователем Александр Самуйлин
Александр Самуйлин
Опубликовано

Спасибо большое за помощь ) 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Екатерина Лучинина
      Автор Екатерина Лучинина
      Пару недель назад, столкнулась с проблемой, ни одну фотографию на компьютере не смогла открыть. Ну думаю, опять вирус подцепила(где и когда, не помню/не знаю), отнесу администратору на работе, должен починить...
      Принесла вчера, а он мне с порога, мол: " --Фигу, что я уже из своих фотографий увижу, если у меня их не было в другом месте." 
      А фотографии я не копировала никуда. В общем после пролитых слез полезла я поискать решение, ну и направило меня сюда.
      Поможите люди добрые, вроде все сделала по инструкции, вот лог.
       

      Ой, задвоилась тема, можно одну удалить?
      CollectionLog-2015.11.10-12.48.zip
      report1.log
      report2.log
    • Alex_hvost
      Автор Alex_hvost
      Добрый день! схожая проблема уже озвучивалась на этом форуме, следуя инструкциям создаю новую тему с тем сообщением что пришло мне:
      на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 6 файлом readme в котором написано:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: B3DF8C1ACB4CD7FA4CD8|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: B3DF8C1ACB4CD7FA4CD8|0 to e-mail address files1147@gmail.com or post100023@gmail.com . Then you will receive all necessary instructions.  
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Прошу вас помочь с разрешением этой ситуации Спасибо
    • borka_e
      Автор borka_e
      Знакомый принес ноутбук, говорит не выходит в интернет, на ноутбуке все или большинство файлов зашифрованы - расширение xtbl, есть ли шансы на восстановление? Согласно инструкции на этом сайте почистил систему: Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. Сделал лог AutoLogger.exe, файл прилагаю. 
      CollectionLog-2015.10.27-10.40.zip
    • bom81
      Автор bom81
      Вирус зашифровал файлы
      примерно минут за 12
       
      сам файл, который запустил пользователь, нашел
      051115scan.scr
       
       
       
      Оставлены 10 файликов  на рабочем столе о том как расшифровать
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 339759B8033610BB2417|288|2|7 на электронный адрес files100001@gmail.com или files100002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 339759B8033610BB2417|288|2|7 to e-mail address files100001@gmail.com or files100002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     могу приложить сам вирус и зашифрованные файлы     возможно ли их будет расшифровать? виндовс переставить не долго, а вот расшифровать... CollectionLog-2015.11.08-14.57.zip
    • vsmzadmin
      Автор vsmzadmin
      Пользователь открыл прикрепленный к письму архив с исполняемым файлом. В результате все документы зашифрованы, имена закодированы, расширение XTBL В файле readme.txt сообщение:  
            CollectionLog-2015.11.10-10.51.zip
×
×
  • Создать...