Еще один no_more_ransom

[lingwillok]

Добрый день!

Тоже столкнулся с этим зловредом. Произвёл чистку, но прошу опытному глазу помочь найти хвосты, если они остались.

 

Текст README1.txt

 

Вaшu фaйлы былu зашuфpовaны.
Чmoбы paсшuфpовamь uх, Baм необxодимо omnpавить код:
A4649D7A9AC375FE3674|0
нa элekтpoнный адреc yvonne.vancese1982@gmail.com .
Далее вы nолyчиmе всe нeoбходuмыe uнсmрyкциu.
Пonыmки paсшuфроваmь cамoстoяmeльно нe прuведyт ни k чему, kpoмe бeзвoзвратной nomepи инфоpмации.
Еслu вы вcё же xomитe nonыmаmьcя, mo пpедвaрuтeльнo сдeлайте pезepвные kоnиu фaйлoв, uнaче в слyчае
ux uзмeнения рaсшифpовka сmанет нeвозмoжной ни пpи каkиx ycловияx.
Еслu вы не nолучuли oтвеma no вышеуkазаннoмy адpеcy в mеченuе 48 чaсов (u тoлько в эmом cлучаe!),
воcпользуйmесь фopмой oбpатнoй cвязи. Эmo мoжнo сделaть двyмя cnоcобами:
1) Сkачайте u yстaновuте Tor Browser по cсылke: https://www.torproject.org/download/download-easy.html.en
В адреcнoй cтpоkе Tor Browser-а ввeдuтe aдpес:
http://cryptsen7fo43rr6.onion/
u нажмите Enter. 3aгрузuтcя стрaнuца c формoй oбрamной cвязu.
2) B любoм брayзeре neрейдuте пo одномy из адpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
A4649D7A9AC375FE3674|0
to e-mail address yvonne.vancese1982@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

Логи FRST64:

 

FRST.txt

Addition.txt

[Sandor]

Здравствуйте!

 

Начните с логов по правилам: Порядок оформления запроса о помощи

[lingwillok]

Извиняюсь, лог прикрепил.

 

CollectionLog-2016.12.23-17.14.zip

[lingwillok]

В связи с выходными, решили снести пользователя со всеми данными (благо есть бэкапы как раз на такой случай), специалистам спасибо за внимание, не буду напрягать.

[lingwillok]

Как оказалось, не всё так просто. После удаления пользователя и перезагрузки терминального сервера, зловред пролез и на админскую учетку. Много дел наделать не успел, был быстро прибит и удален левый csrss файл, но хвосты остались, судя по всему.

Прошелся AdwCleaner, лог прикрепил. После работы клинера и перезагрузки сервера прошелся KVRT (с перезагрузкой), затем утилитами FRST и AutoLogger. Всё в админской учетке. Просьба помочь с хвостами зловреда.

 

P.S. по нажатию кнопки Win - пустой экран, все иконки лончера пропали. Кусачая это вещь.

 

AdwCleanerC0.txt

AdwCleanerS0.txt

FRST.txt

Addition.txt

Shortcut.txt

CollectionLog-2016.12.24-01.08.zip

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
2016-12-23 23:19 - 2016-12-23 23:19 - 03932214 _____ C:\Users\a.elias\AppData\Roaming\8D62D1408D62D140.bmp
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README9.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README8.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README7.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README6.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README5.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README4.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README3.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README2.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README10.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README1.txt
2016-12-23 23:18 - 2016-12-23 23:18 - 00000000 __SHD C:\ProgramData\System32
2016-12-23 14:37 - 2016-12-24 00:10 - 00000000 __SHD C:\ProgramData\services
2016-12-23 14:37 - 2016-12-24 00:10 - 00000000 __SHD C:\ProgramData\Csrss
C:\Users\n.korostelev\AppData\Local\Temp\downloader.exe
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

[lingwillok]

Воспользовался предложенным выше скриптом. Теперь не могу зайти на терминальный сервер из-за сбоя RLS. Ох дела.

[Sandor]

Из консоли, т.е. непосредственно на сервере войти в систему можете?

[lingwillok]

Сервер арендован у лисвеба, физически расположен в Голландии.

Не подсоединяется ни рутовый, ни локальный админ. Написал в техподдержку лисвеба, будем думать.

[Sandor]

Вероятно совпадение, т.к. в скрипте ничего жизненно важного задето не было.

[lingwillok]

Возможно ли отключение RLS в групповых политиках?

[Sandor]

Эти политики только влияют на возможность изменения настроек в браузерах.

[lingwillok]

Удалось подсоединиться, хоть тп лисвеба и молчала. Судя по журналу винды ничего за это время с сервером не происходило. Мистика, короче.

Прикрепляю fixlog.

Fixlog.txt

[Sandor]

с хвостами зловреда.

- с этим всё.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.