Получил no_more_ransom

[Romcop]

С Наступающим НГ!

 

Сердобольный пользователь переслал в бухгалтерию письмо "результаты камеральной проверки(уведомление". Ответственный бухгалтер хоть и был предупрежден, что нельзя открывать почту от незнакомых адресов, но открыл, так как думал, что почта от своего. Ну и получил шифрование файлов и README1.TXT.....README10.TXT на исках С и D с блокировкой от no_more_ramson.

Возможно, что и второй бухгалтер на своем заходила по ссылкам из письма, но пока проявления шифрования не видно.

 

Смущает, что с помощью KVRT проверил зараженный компьютер, а он не нашел угроз. Поэтому и второй компьютер может быть заражен. 

 

Я так понял, что расшифровать файлы не удастся, но хотя бы полечиться.

 

CollectionLog-2016.12.28-18.53.zip

report1.log

report2.log

README1.txt

[Sandor]

Здравствуйте!

 

На момент заражения была ли включена эта настройка?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Romcop]

Здравствуйте!

 

На момент заражения была ли включена эта настройка?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

Добрый, спасибо за отклик!

 

>На момент заражения была ли включена эта настройка?

1. Все компьютеры работают под политикой в которой установлены настройки указанные выше.

2. Второй компьютер оказался зараженным. Проверял KVRT - ничего не обнаружил. Включил в сеть и увидел, что начались надписи README1...

Поэтому буду еще писать по другому зараженному компьютеру позже.

3.Скрипт выполнил.

4. Файл quarantine.zip отправил.  [KLAN-5582272543] csrss.exe - Trojan-Ransom.Win32.Shade.ljr

5. Проверил еще раз autologger`ом. Файл прилагаю.

CollectionLog-2016.12.29-11.59.zip

[Sandor]

Все компьютеры работают под политикой в которой установлены настройки указанные выше

Значит нужно Вам разбираться с ТП.

буду еще писать по другому зараженному компьютеру позже

Для другого создайте отдельную тему.

 

Здесь далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Romcop]

Вот такие дела. Что скажете?

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-12-28 16:26 - 2016-12-28 16:26 - 03932214 _____ C:\Users\UserADC55\AppData\Roaming\B262A88CB262A88C.bmp
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README9.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README8.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README7.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README6.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README5.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README4.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README3.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README2.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README10.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README1.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README9.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README8.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README7.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README6.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README5.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README4.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README3.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README2.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README10.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README1.txt
2016-12-28 15:49 - 2016-12-28 15:49 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-28 15:49 - 2016-12-28 15:49 - 00000000 __SHD C:\ProgramData\System32
2016-12-28 15:38 - 2016-12-29 11:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-28 15:38 - 2016-12-29 11:46 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\UserADC55\AppData\Local\Temp\amigo_setup.exe
C:\Users\UserADC55\AppData\Local\Temp\downloader.exe
C:\Users\UserADC55\AppData\Local\Temp\MailRuUpdater.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Romcop]

done.

Fixlog.txt

[Sandor]

Те же рекомендации: Смените пароли, создайте запрос на расшифровку.

[Romcop]

Огромное спасибо за помощь. 

Еще бы понять, что делать с политикой, которая пропустила эту вирь?

[Sandor]

При общении с ТП сообщите также и об этом.