Шифровальщик, возможно Trojan-Ransom.Win32.Cryakl.aom.

[volsk-crb]

Стоял сервер 1С, Win 2008 R2. В праздники все файлы были зашифрованы и имеют названия файлов "email-muslim666@india.com.ver-CL 1.3.1.0.id-@@@@@72B3-431A.randomname-ADEFFGHHIJJJKLMMNOOOPQQRSSSTUV.WWW". Проверка на вирусы программой Kaspersky Virus Removal Tool 2015 нашел Trojan-Ransom.Win32.Cryakl.aom. На всякий случай сохранил копию вируса. Во вложении выкладываю логи и один из зашифрованных файлов. Если нужен сам вирус, могу выложить. Заранее спасибо за помощь.

CollectionLog-2017.01.09-16.54.zip

Crypt.zip

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 TerminateProcessByName('c:\programdata\microsoft\drm\smss.exe');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','');
 QuarantineFile('c:\programdata\microsoft\drm\smss.exe','');
 QuarantineFile('C:\Users\Администратор\WINDOWS\debug\system\start.vbs','');
 QuarantineFile('ixrsde.out','');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

На всякий случай сохранил копию вируса. Во вложении выкладываю логи и один из зашифрованных файлов. Если нужен сам вирус, могу выложить.

Могли бы пожалуйста отправить в лс (личным сообщением для анализа)

[volsk-crb]

Выполнил скан Farbar Recovery Scan Tool

Может поможет в расшифровке есть часть файлов оригинальных.И они же в зашифрованном виде.

Addition.txt

FRST.txt

Изменено 10 января, 2017 пользователем volsk-crb

[SQ]

Знакома ли Вам?

ShortcutTarget: start.vbs - Ярлык.lnk -> C:\Windows\debug\system\start.vbs ()

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  IFEO\sethc.exe: [Debugger] seth.exe
  File: C:\windows\system32\seth.exe
  File: C:\windows\system32\ixrsde.out
  File: C:\Windows\debug\system\start.vbs
  C:\windows\system32\seth.exe
  C:\windows\system32\ixrsde.out
  File: C:\Program Files\Common Files\Microsoft Shared\System\webisida.browser.exe
  Task: {E6A90B8F-91D4-4501-B620-52D115EB46C5} - System32\Tasks\At1 => Rundll32.exe ixrsde.out,suldrwvb <==== ATTENTION
  Task: {7252B015-31E0-4609-B3E7-6FB3B07F3C8C} - System32\Tasks\GoogleUpdateTaskMashine => C:\Program Files\Common Files\Microsoft Shared\System\webisida.browser.exe <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что серве возможно будет перезагружен.
  

[volsk-crb]

Прикрепляю файл лога.

 

По поводу 

 

 

ShortcutTarget: start.vbs - Ярлык.lnk -> C:\Windows\debug\system\start.vbs ()

ничего сказать, к сожалению не могу.

Fixlog.txt

[SQ]

отправьте пожалуйста следующий файл на проверку https://newvirus.kaspersky.com

C:\Windows\debug\system\start.vbs

Сообщите результат.

[volsk-crb]

Вот результат скана файла

 

Scan result File is safe

File size 437B

File type EXE/VBS

Date of scan 2017-01-10 16:43:47

Bases release date 2017-01-10 12:40:22 UTC

MD5 8f0ffe7cf680cd7b88155fd174765378

SHA1 dfba254321244b846fbd5a220ea2413c66775285

SHA256 10dc017831c2de657efe94a9eb0dc0c4bd7968622422c8ba27387650325edd9f

Изменено 10 января, 2017 пользователем volsk-crb

[SQ]

Проверьте пожалуйста ЛС (личное сообщение)

[SQ]

Пробуйте создать запрос если есть лицензии от ЛК https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой

[volsk-crb]

Ответ от антивирусной лаборатории Касперского:

KLAN-5637090859

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
services.exe
smss.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

[volsk-crb]

Жаль но файлы в лаборатории касперского расшифровать не смогли.

[SQ]

Возможно смогут помочь в ближайшем будущем, к сожалению данный тип шифровальщика на данный момент не подается расшифровки.