Шифровальщик !_____DILINGER7900@GMAIL.COM_____.GRANIT [Rotorcrypt Ransomware]

[antgenp]

Добрый день!

На сервер залез вирус-шифровальщик, дописывающий в конец имени файла строку !_____DILINGER7900@GMAIL.COM_____.GRANIT.

Помогите, пожалуйста, расшифровать, если есть такая возможность.

На ПК стоял Kaspersky Endpoint Security 10.

 

CollectionLog-2016.12.02-14.25.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Windows\Startup.js','');
 DeleteFile('C:\Windows\Startup.js','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1');
ExecuteSysClean;
end.

выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

[antgenp]

Письмо отправил.

Новые логи делаю.

 

Хочу добавить, что файлик C:\Windows\Startup.js - это, скорее всего, скриптик, который монтировал сетевой диск при входе пользователя в систему.

Новые логи

CollectionLog-2016.12.02-15.16.zip

[mike 1]

Уже этого не узнаем. Скрипт подвергся шифрованию. 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[antgenp]

Результат выполнения FRST.exe

Addition.txt

FRST.txt

[mike 1]

Давно они как вам на сервер залезли.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  GroupPolicyScripts: Restriction <======= ATTENTION
  GroupPolicyScripts\User: Restriction <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  2016-11-13 12:51 - 2016-11-13 12:51 - 00000099 __RSH C:\Users\Склад\Downloads\DontSleep.ini
  2016-11-13 12:51 - 2016-09-05 17:51 - 00366016 __RSH (NVIDIA Corporation) C:\Users\Склад\Downloads\cudart64_80.dll
  2016-11-13 12:51 - 2016-08-14 20:46 - 00093696 __RSH (Nenad Hrg (SoftwareOK.com)) C:\Users\Склад\Downloads\DontSleep.exe
  2016-11-13 12:51 - 2015-08-16 03:21 - 00360736 __RSH (NVIDIA Corporation) C:\Users\Склад\Downloads\cudart64_75.dll
  2016-11-13 12:50 - 2016-11-13 12:51 - 00000088 __RSH C:\Users\Склад\Downloads\protocol.bat
  2016-11-13 12:50 - 2016-11-10 13:07 - 00000414 __RSH C:\Users\Склад\Downloads\sytart.bat
  2016-11-13 12:50 - 2016-11-04 18:58 - 01160192 __RSH (Microsoft Corporation) C:\Users\Склад\Downloads\cscce.exe
  2016-11-13 12:50 - 2016-11-03 21:03 - 02235392 __RSH C:\Users\Склад\Downloads\cuda_tromp.dll
  2016-11-13 12:50 - 2016-11-03 21:03 - 00045056 __RSH C:\Users\Склад\Downloads\cpu_tromp_SSE2.dll
  2016-11-13 12:50 - 2016-11-03 21:03 - 00044032 __RSH C:\Users\Склад\Downloads\cpu_tromp_AVX.dll
  2016-11-13 12:50 - 2016-11-03 21:01 - 02235392 __RSH C:\Users\Склад\Downloads\cuda_tromp_75.dll
  2016-11-13 12:50 - 2016-10-29 23:42 - 01424384 __RSH (Misc314) C:\Users\Склад\Downloads\1.exe
  2016-11-13 12:50 - 2016-10-28 20:20 - 00002528 ____N C:\Users\Склад\Downloads\start.vbs
  2016-11-13 12:50 - 2016-10-28 20:17 - 02212352 __RSH C:\Users\Склад\Downloads\st.exe
  2016-11-13 12:50 - 2016-09-14 22:27 - 00021504 __RSH C:\Users\Склад\Downloads\OpenCL.dll
  2016-11-13 12:50 - 2016-08-07 22:34 - 00000018 __RSH C:\Users\Склад\Downloads\HINOU.bat
  2016-11-13 12:50 - 2013-10-05 01:58 - 00963232 __RSH (Microsoft Corporation) C:\Users\Склад\Downloads\msvcr120.dll
  2016-11-13 12:50 - 2013-10-05 01:58 - 00660128 __RSH (Microsoft Corporation) C:\Users\Склад\Downloads\msvcp120.dll
  MSCONFIG\startupreg: BmnoRWvI => "sers\Антон\Desktop\Акты Планшет\+\aaaa.exe"
  MSCONFIG\startupreg: UZqHAJCX => "sers\Антон\Desktop\Акты Планшет\+\aaaa.exe"
  zip:C:\FRST\Quarantine
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 5 декабря, 2016 пользователем mike 1

[antgenp]

Добрый день!

После нажатия кнопки fix появилось сообщение о невозможности сжать папку:

C:\Users\Соня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\爱奇艺PPS影音.lnk.xBAD

"т.к. в имени есть знаки, которые нельзя использовать в имени сжатых папок, например *пять иероглифов*. Переименуйте файл или папку".

 

После нажатия "ОК" в окне ошибки утилита Farbar Recovery Scan Tool висит уже минут 20-30.

Так и висел ещё минут 40-50, снял процесс в диспетчере 5 минут назад, запустил заново.

Снова выдал ту же ошибку, и, похоже, повис.

[mike 1]

Поправил немного скрипт. Если не поможет, то удалите папку/файл по пути C:\FRST\Quarantine\C:\Users\Соня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\爱奇艺PPS影音.lnk.xBAD

Изменено 5 декабря, 2016 пользователем mike 1

[antgenp]

Пришлось всё-таки убрать указанный файл из папки, чтобы выполнить скрипт.

 

Пробовал прикрепить архив с рабочего стола в данную форму

Выдало ошибку:

 

Не указана ссылка на тему. Должен быть линк вида http://virusinfo.info/showthread.php?t=XXXXна существующую тему на форуме

 

Мне создать тему на вирус инфо, или этот архив сюда прикрепить, или он вообще не нужен?

fixlog.txt

[mike 1]

Укажите ссылку на эту http://virusinfo.info/showthread.php?t=37678тему.

 

Мне создать тему на вирус инфо, или этот архив сюда прикрепить, или он вообще не нужен?

Нет.

[Владимир Бареков]

Здравствуйте, тоже пострадал от этого зловреда. Могу передать файлы на анализ зашифрованый и расшифрованый (авторы расшифровали)

[mike 1]

Создайте свою тему.

[antgenp]

 

Результат загрузки

 

Файл сохранён как

 

161206_023036_05.12.2016_18.38.48_5845f89cb5986.zip

 

Размер файла

 

8119144

 

MD5

 

6373ac2fb70154fd8544899cebde3f63

 

Файл закачан, спасибо!

 

[mike 1]

На данный момент расшифровки нет.

[antgenp]

Добрый день!

А подскажите, пожалуйста, есть какая-то информация по расшифровке этого вируса, стоит ли её ждать (не обязательно в ближайшее время)?