Еще один no_more_ransom

23 декабря, 2016

Добрый день!

Тоже столкнулся с этим зловредом. Произвёл чистку, но прошу опытному глазу помочь найти хвосты, если они остались.

Текст README1.txt

Вaшu фaйлы былu зашuфpовaны.
Чmoбы paсшuфpовamь uх, Baм необxодимо omnpавить код:
A4649D7A9AC375FE3674|0
нa элekтpoнный адреc yvonne.vancese1982@gmail.com .
Далее вы nолyчиmе всe нeoбходuмыe uнсmрyкциu.
Пonыmки paсшuфроваmь cамoстoяmeльно нe прuведyт ни k чему, kpoмe бeзвoзвратной nomepи инфоpмации.
Еслu вы вcё же xomитe nonыmаmьcя, mo пpедвaрuтeльнo сдeлайте pезepвные kоnиu фaйлoв, uнaче в слyчае
ux uзмeнения рaсшифpовka сmанет нeвозмoжной ни пpи каkиx ycловияx.
Еслu вы не nолучuли oтвеma no вышеуkазаннoмy адpеcy в mеченuе 48 чaсов (u тoлько в эmом cлучаe!),
воcпользуйmесь фopмой oбpатнoй cвязи. Эmo мoжнo сделaть двyмя cnоcобами:
1) Сkачайте u yстaновuте Tor Browser по cсылke: https://www.torproject.org/download/download-easy.html.en
В адреcнoй cтpоkе Tor Browser-а ввeдuтe aдpес:
http://cryptsen7fo43rr6.onion/
u нажмите Enter. 3aгрузuтcя стрaнuца c формoй oбрamной cвязu.
2) B любoм брayзeре neрейдuте пo одномy из адpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
A4649D7A9AC375FE3674|0
to e-mail address yvonne.vancese1982@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Логи FRST64:

FRST.txt

Addition.txt

23 декабря, 2016

Здравствуйте!

Начните с логов по правилам: Порядок оформления запроса о помощи

23 декабря, 2016

Извиняюсь, лог прикрепил.

CollectionLog-2016.12.23-17.14.zip

23 декабря, 2016

В связи с выходными, решили снести пользователя со всеми данными (благо есть бэкапы как раз на такой случай), специалистам спасибо за внимание, не буду напрягать.

23 декабря, 2016

Как оказалось, не всё так просто. После удаления пользователя и перезагрузки терминального сервера, зловред пролез и на админскую учетку. Много дел наделать не успел, был быстро прибит и удален левый csrss файл, но хвосты остались, судя по всему.

Прошелся AdwCleaner, лог прикрепил. После работы клинера и перезагрузки сервера прошелся KVRT (с перезагрузкой), затем утилитами FRST и AutoLogger. Всё в админской учетке. Просьба помочь с хвостами зловреда.

P.S. по нажатию кнопки Win - пустой экран, все иконки лончера пропали. Кусачая это вещь.

CollectionLog-2016.12.24-01.08.zip

26 декабря, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
2016-12-23 23:19 - 2016-12-23 23:19 - 03932214 _____ C:\Users\a.elias\AppData\Roaming\8D62D1408D62D140.bmp
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README9.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README8.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README7.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README6.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README5.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README4.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README3.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README2.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README10.txt
2016-12-23 23:19 - 2016-12-23 23:19 - 00004170 _____ C:\Users\a.elias\Desktop\README1.txt
2016-12-23 23:18 - 2016-12-23 23:18 - 00000000 __SHD C:\ProgramData\System32
2016-12-23 14:37 - 2016-12-24 00:10 - 00000000 __SHD C:\ProgramData\services
2016-12-23 14:37 - 2016-12-24 00:10 - 00000000 __SHD C:\ProgramData\Csrss
C:\Users\n.korostelev\AppData\Local\Temp\downloader.exe
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

26 декабря, 2016

Воспользовался предложенным выше скриптом. Теперь не могу зайти на терминальный сервер из-за сбоя RLS. Ох дела.

26 декабря, 2016

Из консоли, т.е. непосредственно на сервере войти в систему можете?

26 декабря, 2016

Сервер арендован у лисвеба, физически расположен в Голландии.

Не подсоединяется ни рутовый, ни локальный админ. Написал в техподдержку лисвеба, будем думать.

26 декабря, 2016

Вероятно совпадение, т.к. в скрипте ничего жизненно важного задето не было.

26 декабря, 2016

Возможно ли отключение RLS в групповых политиках?

26 декабря, 2016

Эти политики только влияют на возможность изменения настроек в браузерах.

26 декабря, 2016

Удалось подсоединиться, хоть тп лисвеба и молчала. Судя по журналу винды ничего за это время с сервером не происходило. Мистика, короче.

Прикрепляю fixlog.

Fixlog.txt

27 декабря, 2016

с хвостами зловреда.

- с этим всё.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Еще один no_more_ransom

Рекомендуемые сообщения

lingwillok 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 286

Ссылка на сообщение

Поделиться на другие сайты

lingwillok 0

Ссылка на сообщение

Поделиться на другие сайты

lingwillok 0

Ссылка на сообщение

Поделиться на другие сайты

lingwillok 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 286

Ссылка на сообщение

Поделиться на другие сайты

lingwillok 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 286

Ссылка на сообщение

Поделиться на другие сайты

lingwillok 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 286

Ссылка на сообщение

Поделиться на другие сайты

lingwillok 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 286

Ссылка на сообщение

Поделиться на другие сайты

lingwillok 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 286

Ссылка на сообщение

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum