Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Получил no_more_ransom

Romcop
 Поделиться

Рекомендуемые сообщения

Romcop

Romcop

Опубликовано
Опубликовано

С Наступающим НГ!

 

Сердобольный пользователь переслал в бухгалтерию письмо "результаты камеральной проверки(уведомление". Ответственный бухгалтер хоть и был предупрежден, что нельзя открывать почту от незнакомых адресов, но открыл, так как думал, что почта от своего. Ну и получил шифрование файлов и README1.TXT.....README10.TXT на исках С и D с блокировкой от no_more_ramson.

Возможно, что и второй бухгалтер на своем заходила по ссылкам из письма, но пока проявления шифрования не видно.

 

Смущает, что с помощью KVRT проверил зараженный компьютер, а он не нашел угроз. Поэтому и второй компьютер может быть заражен. 

 

Я так понял, что расшифровать файлы не удастся, но хотя бы полечиться.

 

CollectionLog-2016.12.28-18.53.zip

report1.log

report2.log

README1.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

На момент заражения была ли включена эта настройка?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Romcop

Romcop

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

На момент заражения была ли включена эта настройка?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

Добрый, спасибо за отклик!

 

>На момент заражения была ли включена эта настройка?

1. Все компьютеры работают под политикой в которой установлены настройки указанные выше.

2. Второй компьютер оказался зараженным. Проверял KVRT - ничего не обнаружил. Включил в сеть и увидел, что начались надписи README1...

Поэтому буду еще писать по другому зараженному компьютеру позже.

3.Скрипт выполнил.

4. Файл quarantine.zip отправил.  [KLAN-5582272543] csrss.exe - Trojan-Ransom.Win32.Shade.ljr

5. Проверил еще раз autologger`ом. Файл прилагаю.

CollectionLog-2016.12.29-11.59.zip

Sandor

Sandor

Опубликовано
Опубликовано

Все компьютеры работают под политикой в которой установлены настройки указанные выше

Значит нужно Вам разбираться с ТП.

буду еще писать по другому зараженному компьютеру позже

Для другого создайте отдельную тему.

 

Здесь далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-12-28 16:26 - 2016-12-28 16:26 - 03932214 _____ C:\Users\UserADC55\AppData\Roaming\B262A88CB262A88C.bmp
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README9.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README8.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README7.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README6.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README5.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README4.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README3.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README2.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README10.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README1.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README9.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README8.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README7.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README6.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README5.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README4.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README3.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README2.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README10.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README1.txt
2016-12-28 15:49 - 2016-12-28 15:49 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-28 15:49 - 2016-12-28 15:49 - 00000000 __SHD C:\ProgramData\System32
2016-12-28 15:38 - 2016-12-29 11:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-28 15:38 - 2016-12-29 11:46 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\UserADC55\AppData\Local\Temp\amigo_setup.exe
C:\Users\UserADC55\AppData\Local\Temp\downloader.exe
C:\Users\UserADC55\AppData\Local\Temp\MailRuUpdater.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Romcop

Romcop

Опубликовано
  • Автор
Опубликовано

Огромное спасибо за помощь. 

Еще бы понять, что делать с политикой, которая пропустила эту вирь?

Sandor

Sandor

Опубликовано
Опубликовано

При общении с ТП сообщите также и об этом.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • chkof
      no_more_ransom
      Автор chkof
      Добрый день!
      Знакомая словила по почте вирус, который зашифровал файлы на диске. Мошенники за восстановление запросили 11тр. Есть ли возможность восстановить с вашей помощью данные? Лог по инструкции прикрепляю. Cureit обнаружил 8 вирусов, перенес в карантин.
      ПОМОГИТЕ!
      CollectionLog-2016.12.24-12.36.zip
    • Алексей Ганин
      Зашифровались все файлы после открытия почты *.no_more_ransom.
      Автор Алексей Ганин
      Зашифровались все файлы после открытия почты *.no_more_ransom.
       
      Прошел вот эту процедуру http://prntscr.com/dllhyf

      На момент зарожения антивирус касперского был установлен но почему то был выключен, был установлен internet security. Пользователь сам что то намудрил, я его удалил и поставил kaspersky endpoint security 2010 как на всех компьютерах.
       
      Прикрепляю реадми и 3 фала для примера
       
       

      Прочитал что еще нужно прикрепить лицензию на каспера, но у нас ключ на 38 компьютеров, не нашел как его можно прикрепить
      FRST.txt
      Addition.txt
      на отправку.rar
    • Romcop
      2-й компьютер с NO_MORE_RAMSON
      Автор Romcop
      С Наступающим!
       
      На 2-м компьютере бухгалтерии. Зашифрованы файлы на диске С частично, на Е (восстановление системы) практически полностью. На сетевые диски тоже навалил README... Вообщем, отключил сеть, вошел под администратором, проверил KVRT, включил AutoLogger. Результаты Autologger`а. 
      CollectionLog-2016.12.29-12.39.zip
      report1.log
      report2.log
    • pgm
      Шифровальщик no_more_ransom
      Автор pgm
      Здравствуйте.
      23.12.2016 поймали на шифровальщик, который зашифровал все фото, документы и др., расширение no_more_ransom.
      В почту пришло письмо якобы от банка и т.д. с .js файлом.
      Архив с письмом проверен Касперским. Файл был извлечен из архива и опять проверен касперским и был запущен 22.12.2016.
      23.12.2016  все файлы были зашифрованы прежде чем Касперский обнаружил заражение.
       
      Ключ Касперского 4EC8AA55.key
       
      Что делать?
      Содержание файла README1.txt
       
      Baши фaйлы были зaшифровaны.
      Чmoбы рacшифрoвamь ux, Вам необxoдuмо отпpaвumь кoд:
      5CDAE1B63491DA3A3BF1|759|6|40
      на элekтpoнный адpeс lukyan.sazonov26@gmail.com .
      Далеe вы nолучume вcе необxoдuмыe uнстрyкции.
      Пoпытku pacшuфpовaть сaмocmoятeльнo нe nрuвeдyт нu k чeму, kрoме бeзвозвpатной поmери uнфоpмацuu.
      Если вы всё жe xоmитe nопытamься, mо npeдваpumельнo cдeлaйте резеpвныe кonuи фaйлов, uнaче в cлyчаe
      иx изменeнuя рaсшuфровкa сmанem невoзможнoй ни nрu kaкux yсловияx.
      Ecли вы не nолyчили отвеma no вышеyказанномy адpeсу в теченue 48 часов (и moлько в этoм cлyчаe!),
      вocnoльзуйmeсь фоpмой обратной связu. Эmо можнo сделать двумя споcобами:
      1) Скaчaйтe и устанoвuте Tor Browser пo ссылke: https://www.torproje...ad-easy.html.en
      В адpеснoй cтpokе Tor Browser-a ввeдuте адрес:
      http://cryptsen7fo43rr6.onion/
      u нaжмumе Enter. 3arрузитcя cтрaнuца с фopмoй обpamнoй связu.
      2) В любoм бpаyзерe пеpейдume nо однoму uз aдpесoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       
    • ill
      шифровальщик
      Автор ill
      Зашифровал почти все файлы, оставил после себя readme.txt, один из:
      readme.txt:
       
       
      CollectionLog-2016.12.09-09.34.zip
      README1.txt
×
×
  • Создать...