Файлы зашифрованы Vegclass@aol.com.xtbl

[Страхов Дмитрий]

Просьба помочь с дешифратором.

 

FRST.txt

Addition.txt

[SQ]

Порядок оформления запроса о помощи

[Страхов Дмитрий]

 На рабочий PC прилетел из сетевого диска вирус и зашифровались многие файлы, в именах дописалось расширение id-BC126799.Vegclass@aol.com.xtbl

 

На данном PC используется лицензионная версия Kaspersky Endpoint Security 10 .

 

Прикрепил лог от софта AutoLogger, выше в теме логи от программы FRST.

Тело вируса содержалось в файле в файле payload.exe, проведено лечение утилитой DRWEB Cureit.

 

Просьба помочь в решении проблемы по дешифрации файлов.

CollectionLog-2016.11.01-16.09.zip

Изменено 1 ноября, 2016 пользователем Страхов Дмитрий

[SQ]

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('1OPR1G.exe','');
 QuarantineFile('c:\progra~1\search~1\sifilt~1\siph.dll','');
 QuarantineFile('C:\Windows\TEMP\VPN_B298\721E86EB.dll','');
 QuarantineFile('C:\Windows\TEMP\VPN_2E2E\9218E5A4.dll','');
 QuarantineFile('D:\RESTORE\uyxrvh','');
 QuarantineFile('C:\Users\dispetcher.TEPLO\AppData\Roaming\Payload.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 DeleteFile('C:\Users\dispetcher.TEPLO\AppData\Roaming\Payload.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Страхов Дмитрий]

ОК. Выслали на анализ.

[Страхов Дмитрий]

Re: "Запрос на исследование вредоносного файла". [KLAN-5272743103].
Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

721E86EB.dll,
9218E5A4.dll,
uyxrvh,
bcqr00005.dat,
bcqr00006.dat,
bcqr00007.dat,
bcqr00008.dat,
bcqr00009.dat,
bcqr00010.dat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

Payload.exe - Trojan-Ransom.Win32.CryFile.bmt

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

721E86EB.dll,
9218E5A4.dll,
uyxrvh,
bcqr00005.dat,
bcqr00006.dat,
bcqr00007.dat,
bcqr00008.dat,
bcqr00009.dat,
bcqr00010.dat

A set of unknown files has been received. They will be sent to the Virus Lab.

Payload.exe - Trojan-Ransom.Win32.CryFile.bmt

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"


--------------------------------------------------------------------------------
From: 
Sent: 11/1/2016 2:45:50 PM
To: newvirus@kaspersky.com
Subject: "Запрос на исследование вредоносного файла".

Выполняется запрос хэлпера.

 

Сообщение от модератора Mark D. Pearlstone

Почта пользователя удалена.

[SQ]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Так и не прислали новые логи.

[Страхов Дмитрий]

Утром на данном PC ситуация повторилась. В startup висит payload.exe  файл Autologger тоже зашиврован. Скачал заново - логи приложил.

Повторно прогоняем DRWEB cureit , после этого вышлем новые логи.

CollectionLog-2016.11.02-08.36.zip

[SQ]

HiJackThis (из каталога автологгера) профиксить

O4 - HKLM\..\Run: [Payload.exe] C:\Users\dispetcher.TEPLO\AppData\Roaming\Payload.exe
O4 - Startup other users: Payload.exe    ->    (PE EXE)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\system32\payload.exe');
 QuarantineFile('1OPR1G.exe','');
 QuarantineFile('c:\progra~1\search~1\sifilt~1\siph.dll','');
 QuarantineFile('C:\Users\dispetcher.TEPLO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe','');
 QuarantineFile('C:\Users\dispetcher.TEPLO\AppData\Roaming\Payload.exe','');
 QuarantineFile('c:\windows\system32\payload.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Payload.exe');
 DeleteFile('C:\Users\dispetcher.TEPLO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe','32');
 DeleteFile('C:\Users\dispetcher.TEPLO\AppData\Roaming\Payload.exe','32');
 DeleteFile('c:\windows\system32\payload.exe','32');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Страхов Дмитрий]

HiJackThis  произвели исправления.

СollectionLog - это анализ после проверки и лечения drweb cureit

Addition.txt  и FRST.txt  так же сформированы после проведения анализа и лечения drweb cureit

Скрипт прогнали после того как отработал cureit  и скорей всего в архив отчета эти файлы не попадут, так как cureit их уже переместил и удалил.

 

QuarantineFile('C:\Users\dispetcher.TEPLO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe','');  

QuarantineFile('C:\Users\dispetcher.TEPLO\AppData\Roaming\Payload.exe','');  QuarantineFile('c:\windows\system32\payload.exe','');

 

 

Отчет вышлем.

 

Хочется уточнить, операционную систему, где поработал вирус можно переустановить и сохранить лишь файлы с шифрацией или нужно оставить все как есть.

Вопрос возник из-за того, что в бухгалтерии полетела 1C, шифратор один и тот же. Достаточно ли просто скопировать базы в зашифрованном виде, а потом их расшифровать на другом PC?

Addition.txt

FRST.txt

CollectionLog-2016.11.02-10.02.zip

[SQ]

- Пока не переустанавливайте ОС.
- Уточните пожалуйста, как запустили шифратор/откуда получили его?
 

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-75176672-4014867472-3114940958-1239\...\Run: [] => [X]
  HKU\S-1-5-21-75176672-4014867472-3114940958-1239\...\MountPoints2: {bd4ea14e-fa1d-11e4-a3bf-806e6f6e6963} - explorer.exe \
  AppInit_DLLs: c:\progra~1\search~1\sifilt~1\siph.dll => No File
  Startup: C:\Users\admin.TEPLO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg [2016-11-01] ()
  Startup: C:\Users\admin.TEPLO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt [2016-11-01] ()
  Startup: C:\Users\admin.TEPLO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe [2016-11-01] ()
  BHO: Lync Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office\Office15\OCHelper.dll => No File
  BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~1\MICROS~1\Office15\URLREDIR.DLL => No File
  Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll No File
  Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office\Office15\MSOSB.DLL No File
  Filter: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE15\MSOXMLMF.DLL No File
  FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [No File]
  FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [No File]
  FF Plugin: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> C:\Program Files\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [No File]
  FF Plugin: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [No File]
  FF Plugin: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [No File]
  FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~1\Office15\NPSPWRAP.DLL [No File]
  FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.31.5\npGoogleUpdate3.dll [No File]
  FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.31.5\npGoogleUpdate3.dll [No File]
  CHR HKU\S-1-5-21-75176672-4014867472-3114940958-1239\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
  2016-11-01 03:57 - 2016-11-02 08:30 - 00000168 _____ C:\Users\dispetcher.TEPLO\Desktop\Decryption instructions.txt
  2016-11-01 00:11 - 2016-07-24 00:51 - 00199168 _____ C:\Users\admin.TEPLO\Desktop\Payload.exe
  C:\Windows\Tasks\At1.job
  AlternateDataStreams: C:\Windows:Active.txt [13]
  AlternateDataStreams: C:\Users\Admin\AppData\Local\Temp:Account.txt [62]
  HKU\S-1-5-21-75176672-4014867472-3114940958-1239\Control Panel\Desktop\\Wallpaper -> C:\Users\dispetcher.TEPLO\Decryption instructions.jpg
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  
  Приложите новый лог утилиты FRST.

[Страхов Дмитрий]

Шифратор прилетел по эл.почте на другой PC. На данный PC попал скорей всего из общедоступной локальной папки.

Новый лог утилиты FRST.

Fixlog.txt

FRST.txt

Addition.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  C:\Users\dispetcher.TEPLO\Decryption instructions.jpg
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

Не удаляйте каталог C:\FRST до тех пор пока не решите вопрос с расшифровкой.

 

https://forum.kasperskyclub.ru/index.php?showtopic=48525

[Страхов Дмитрий]

Прикрепил лог.

Подскажите как правильно сделать запрос на расшифровку файлов, что именно приложить?

Fixlog.txt

[SQ]

https://forum.kasperskyclub.ru/index.php?showtopic=48525

Инструкции указаны по ссылке которую я Вам приложил ранее, далее у Вас тех. поддержка KL запросить все необходимое, в случае возможности их силами помочь с расшифровкой.

 

Инструкции злоумышленников находятся в карантине:

C:\FRST\Quarantine\C\Users\admin.TEPLO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg
C:\FRST\Quarantine\C\Users\admin.TEPLO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt

P.S. Важно понимать, что в карантине находятся и вредоносное ПО, поэтому желательно не открывать/запускать ничего в карантине.