ransom.shade Получил no_more_ransom

28 декабря, 2016

С Наступающим НГ!

Сердобольный пользователь переслал в бухгалтерию письмо "результаты камеральной проверки(уведомление". Ответственный бухгалтер хоть и был предупрежден, что нельзя открывать почту от незнакомых адресов, но открыл, так как думал, что почта от своего. Ну и получил шифрование файлов и README1.TXT.....README10.TXT на исках С и D с блокировкой от no_more_ramson.

Возможно, что и второй бухгалтер на своем заходила по ссылкам из письма, но пока проявления шифрования не видно.

Смущает, что с помощью KVRT проверил зараженный компьютер, а он не нашел угроз. Поэтому и второй компьютер может быть заражен.

Я так понял, что расшифровать файлы не удастся, но хотя бы полечиться.

CollectionLog-2016.12.28-18.53.zip

report1.log

report2.log

README1.txt

29 декабря, 2016

Здравствуйте!

На момент заражения была ли включена эта настройка?

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

29 декабря, 2016

Здравствуйте!

На момент заражения была ли включена эта настройка?

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Добрый, спасибо за отклик!

>На момент заражения была ли включена эта настройка?

1. Все компьютеры работают под политикой в которой установлены настройки указанные выше.

2. Второй компьютер оказался зараженным. Проверял KVRT - ничего не обнаружил. Включил в сеть и увидел, что начались надписи README1...

Поэтому буду еще писать по другому зараженному компьютеру позже.

3.Скрипт выполнил.

4. Файл quarantine.zip отправил. [KLAN-5582272543] csrss.exe - Trojan-Ransom.Win32.Shade.ljr

5. Проверил еще раз autologger`ом. Файл прилагаю.

CollectionLog-2016.12.29-11.59.zip

29 декабря, 2016

Все компьютеры работают под политикой в которой установлены настройки указанные выше

Значит нужно Вам разбираться с ТП.

буду еще писать по другому зараженному компьютеру позже

Для другого создайте отдельную тему.

Здесь далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

29 декабря, 2016

Вот такие дела. Что скажете?

Addition.txt

FRST.txt

Shortcut.txt

29 декабря, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-12-28 16:26 - 2016-12-28 16:26 - 03932214 _____ C:\Users\UserADC55\AppData\Roaming\B262A88CB262A88C.bmp
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README9.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README8.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README7.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README6.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README5.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README4.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README3.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README2.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README10.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\UserADC55\Desktop\README1.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README9.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README8.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README7.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README6.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README5.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README4.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README3.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README2.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README10.txt
2016-12-28 16:26 - 2016-12-28 16:26 - 00004190 _____ C:\Users\Public\Desktop\README1.txt
2016-12-28 15:49 - 2016-12-28 15:49 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-28 15:49 - 2016-12-28 15:49 - 00000000 __SHD C:\ProgramData\System32
2016-12-28 15:38 - 2016-12-29 11:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-28 15:38 - 2016-12-29 11:46 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\UserADC55\AppData\Local\Temp\amigo_setup.exe
C:\Users\UserADC55\AppData\Local\Temp\downloader.exe
C:\Users\UserADC55\AppData\Local\Temp\MailRuUpdater.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

29 декабря, 2016

done.

Fixlog.txt

29 декабря, 2016

Те же рекомендации: Смените пароли, создайте запрос на расшифровку.

29 декабря, 2016

Огромное спасибо за помощь.

Еще бы понять, что делать с политикой, которая пропустила эту вирь?

29 декабря, 2016

При общении с ТП сообщите также и об этом.

ransom.shade Получил no_more_ransom

Рекомендуемые сообщения

Romcop

Sandor

Romcop

Sandor

Romcop

Sandor

Romcop

Sandor

Romcop

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum