Шифровальщик Vault

[Дмитрий74]

Бухгалтер поймала шифровальщик из письма как раз в отчетный период, ну и осталась без баз 1С.

p.s. письмо от злоумышленников осталось

p.s.s. не знаю необходимо или нет лиц. Kaspersky Endpoint Security 10 имеется (но почему то к лк не прикрепляется)

так же прикрепил все остатки шифровальщика которые лежали в C:\Users\5\AppData\Roaming (CONFIRMATION.KAY KEY.PRIVATE UNIQUE.PRIVATE VAULT.hta VAULT.KEY)

CollectionLog-2016.10.19-14.19.zip

vault.rar

Изменено 19 октября, 2016 пользователем Дмитрий74

[Sandor]

Здравствуйте!

 

На момент заражения эта настройка была включена?

 

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Shopping App by Ask

Амиго

Служба автоматического обновления программ

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '');
 QuarantineFile('C:\Users\5\AppData\Local\Temp\svchost.exe', '');
 DeleteFile('C:\Users\5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '32');
 DeleteFile('C:\Users\5\AppData\Local\Temp\svchost.exe', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Дмитрий74]

Нет на тот момент на машине стоял антивирус от MS.

ответ от newvirus@kaspersky.com :

[KLAN-5204072167]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

VAULT.hta

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

svchost.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

ClearLNK-19.10.2016_15-49.log

CollectionLog-2016.10.19-16.07.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Дмитрий74]

Сделал

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-2521028960-2843628861-1048055846-1000 -> {56FD3BAB-1145-4426-A38B-6650DB73A70E} URL = hxxp://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^RU&gct=&itbv=12.23.0.16&apn_uid=46F27D5E-7516-4D02-847F-551D484C4BB3&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^RU&apn_dbr=ie&doi=2015-01-22&trgb=IE&q={searchTerms}&psv=&pt=tb
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2521028960-2843628861-1048055846-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/"
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2016-05-10]
CHR Extension: («Визуальные Закладки» от Mail.Ru) - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\clpdgmdkdnijjbgmnajolnbnjejoeogm [2014-09-30]
CHR Extension: (Визуальные Закладки c сервисами Mail.Ru) - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhngkpgdbpbkopndlpkicfaiffphdkbo [2014-11-11]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2015-02-02]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndaciceccgapjhpniecknjlmmlanaem [2016-05-24]
CHR Extension: («Визуальные Закладки» от Mail.Ru) - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcncjpganfocbfoenaemagjjopkkindp [2014-10-13]
CHR Extension: (Mail.ru «Визуальные закладки») - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\jaocgokledfmfebefgbeokdodbbdjhdd [2013-05-30] [UpdateUrl: hxxp://binupdate.mail.ru/chrome_ext/] <==== ATTENTION
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\kppacdmmddediahklmcgkgdhhoojemmd [2015-03-04]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\odkmedfomghphdnmmemhkpoanggcfbbe [2014-11-20]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\pganlglbhgfjfgopijbhemcpbehjnpia [2015-02-02]
CHR Extension: (Домашняя страница – Mail.Ru) - C:\Users\5\AppData\Local\Google\Chrome\User Data\Default\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-09-30]
2016-10-19 09:12 - 2016-10-19 09:12 - 03455974 _____ C:\Users\5\AppData\Roaming\CONFIRMATION.KEY
2016-10-19 09:12 - 2016-10-19 09:12 - 00005016 _____ C:\Users\5\AppData\Roaming\VAULT.hta
2016-10-19 09:12 - 2016-10-19 09:12 - 00001605 _____ C:\Users\5\AppData\Roaming\VAULT.KEY
2016-10-19 15:22 - 2013-05-30 13:16 - 00000000 ____D C:\Users\5\AppData\Local\Mail.Ru
2016-10-19 15:22 - 2011-04-20 13:39 - 00000000 ____D C:\Program Files\Mail.Ru
C:\Users\5\AppData\Local\Temp\0a50e25a83046228c11dcaa7eeed09bb.exe
C:\Users\5\AppData\Local\Temp\14df594b-c121-4ef7-ae07-98c8a1232ea1.exe
C:\Users\5\AppData\Local\Temp\amigo_setup.exe
C:\Users\5\AppData\Local\Temp\APNSetup.exe
C:\Users\5\AppData\Local\Temp\D467.exe
C:\Users\5\AppData\Local\Temp\EB0ECDAEA626.exe
C:\Users\5\AppData\Local\Temp\F954.exe
C:\Users\5\AppData\Local\Temp\GuardMailRu.exe
C:\Users\5\AppData\Local\Temp\iconv.dll
C:\Users\5\AppData\Local\Temp\Internet_s.exe
C:\Users\5\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\5\AppData\Local\Temp\mrutmp.exe
C:\Users\5\AppData\Local\Temp\Quarantine.exe
C:\Users\5\AppData\Local\Temp\sdelete.exe
Task: {55BE6F69-8C86-4035-A7FA-B03EFF1FE79E} - System32\Tasks\DealPlyUpdate => C:\Program [Argument = Files\DealPly\DealPlyUpdate.exe] <==== ATTENTION
Task: {6B101C63-035E-4D63-8590-6C041B0B2D50} - System32\Tasks\MailRuUpdateTask => C:\Users\5\AppData\Local\Mail.Ru\MailRuUpdater.exe
MSCONFIG\Services: mrupdsrv => 2
MSCONFIG\startupreg: amigo => C:\Users\5\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

на тот момент на машине стоял антивирус от MS

По-прежнему виден в логах. Оставьте один антивирус.

[Дмитрий74]

сделал

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[Ld73]

Добрый день!

Столкнулся с такой же проблемой!

Скажите на текущий момент, есть рабочее решение по восстановлению зашифрованных файлов?

 

К сообщению прикрепляю ключ и зашифрованный файл.

 

Заранее спасибо!

VAULT.rar

Изменено 21 октября, 2016 пользователем Ld73

[Sandor]

@Ld73, здравствуйте!

 

Не пишите в чужой теме. Создайте свою, прочтите и выполните Порядок оформления запроса о помощи

[Ld73]

Уже понял, только не понял, есть ли решение у данной проблемы, так как все посты прерываются.

Конечно же создам новую тему.