Невозможно открыть документы Excel, Word, Pdf

[AdminStolbzy]

Терзайте пользователей. Кто-то из них открыл вложение из письма. И логи нужны с компьютера первоисточника.

 

Скорее всего поймали Spora

 

Файлы из компа первоисточника

Можно ли будет расшифровать зараженные файлы (есть лицензия на KES 10)? 

CollectionLog-2017.01.12-14.17.zip

Addition.txt

FRST.txt

Shortcut.txt

Изменено 12 января, 2017 пользователем AdminStolbzy

[SQ]

Вы точно уверены, что изначально с данного ПК бл запущен шифровальщик?

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  File: C:\Windows\SysWOW64\srvany.exe
  Task: {298CED82-1505-42DB-999E-C11648DDEF69} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  Task: {B03A535A-94B9-4041-8AAA-F1E386F2895D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[AdminStolbzy]

Вы точно уверены, что изначально с данного ПК бл запущен шифровальщик?

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  File: C:\Windows\SysWOW64\srvany.exe
  Task: {298CED82-1505-42DB-999E-C11648DDEF69} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  Task: {B03A535A-94B9-4041-8AAA-F1E386F2895D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

Fixlog.txt смогу прислать завтра, как буду на работе.

Скорее всего с этого, т.к. заражено 3 ПК, а на этом дата изменения файлов самая ранняя. Есть вероятность, что вирус занесли с флешки-ключа, но первым делом вставили в этом компьютер.

Изменено 12 января, 2017 пользователем AdminStolbzy

[SQ]

Ждем от Вас логов, уточняйте у коллег, кто открывал может письма с угрозами, претензиями, какие-то счет-фактуры и т.п.

P.S. Обычно шифровальщик приходят с письмами.

[AdminStolbzy]

Ждем от Вас логов, уточняйте у коллег, кто открывал может письма с угрозами, претензиями, какие-то счет-фактуры и т.п.

P.S. Обычно шифровальщик приходят с письмами.

Fixlog.txt

[SQ]

Ищите ПК который первоначально был заражен, приблизительно на данном ПК, должны были образоваться ключи вида "CCCXX-XXXXX-XXXXX-XXXXX-XXXXX", где CCC и CC это 3 или 2 буквы кода страны и X - различные цифры или буквы. Этот код необходим обычно для злоумышленников.

[AdminStolbzy]

Ищите ПК который первоначально был заражен, приблизительно на данном ПК, должны были образоваться ключи вида "CCCXX-XXXXX-XXXXX-XXXXX-XXXXX", где CCC и CC это 3 или 2 буквы кода страны и X - различные цифры или буквы. Этот код необходим обычно для злоумышленников.

А по логам - это не этот ПК? А на первоначально зараженном может с файлами быть всё хорошо? И этот файл с расширением .key?

 

P.S. А не могли его на флешке принести? Потому что проверил 3 зараженных ПК и не нашел подходящего файла.

Изменено 13 января, 2017 пользователем SQ

[AdminStolbzy]

А какое расширение файла?

[SQ]

А какое расширение файла?

Вот пример для региона Россия, из известных мне случаев:

 

 

C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.LST
C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.HTML
C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.KEY

это не этот ПК? А на первоначально зараженном может с файлами быть всё хорошо? И этот файл с расширением .key?

 

P.S. А не могли его на флешке принести? Потому что проверил 3 зараженных ПК и не нашел подходящего файла.

Могли по сути откуда угодно, но обычно основном инструментом доставки является электронная почта или взлом сервера у который имеет возможность удаленного доступа.

[AdminStolbzy]

 

А какое расширение файла?

Вот пример для региона Россия, из известных мне случаев:

 

 

C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.LST
C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.HTML
C:\Users\<username>\AppData\Roaming\RUFXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX.KEY

это не этот ПК? А на первоначально зараженном может с файлами быть всё хорошо? И этот файл с расширением .key?

 

P.S. А не могли его на флешке принести? Потому что проверил 3 зараженных ПК и не нашел подходящего файла.

Могли по сути откуда угодно, но обычно основном инструментом доставки является электронная почта или взлом сервера у который имеет возможность удаленного доступа.

 

Искал с помощью поиска в ТС, но пока ничего так и не нашел (ПК другого крыла смогу проверить только в понедельник). На зараженных просматривал вручную C:\Users\<username>\AppData\Roaming\, тоже по нолям. Боюсь, что этот гад пришел к нам с другой организации  на флешке, а у нас распространился по сети. 

[SQ]

Искал с помощью поиска в ТС, но пока ничего так и не нашел (ПК другого крыла смогу проверить только в понедельник). На зараженных просматривал вручную C:\Users\<username>\AppData\Roaming\, тоже по нолям. Боюсь, что этот гад пришел к нам с другой организации  на флешке, а у нас распространился по сети.

По имеющей новой информации возможно и с флэшки.

[AdminStolbzy]

 

Искал с помощью поиска в ТС, но пока ничего так и не нашел (ПК другого крыла смогу проверить только в понедельник). На зараженных просматривал вручную C:\Users\<username>\AppData\Roaming\, тоже по нолям. Боюсь, что этот гад пришел к нам с другой организации  на флешке, а у нас распространился по сети.

По имеющей новой информации возможно и с флэшки.

 

Файл пришел действительно с письмом. KES 10 определил его как Trojan-Ransom.JS.Agent.dy, но первоначально зараженный компьютер пока не вычислил (либо на нем просто нет файлов *.key)

Изменено 21 января, 2017 пользователем AdminStolbzy

[SQ]

Файл пришел действительно с письмом. KES 10 определил его как Trojan-Ransom.JS.Agent.dy, но первоначально зараженный компьютер пока не вычислил (либо на нем просто нет файлов *.key)

А нашли по логам антивируса, кто и с какого ПК запустили его? Так как если не удалить вредоносное ПО, то оно может продолжать портить файлы.

[AdminStolbzy]

 

Файл пришел действительно с письмом. KES 10 определил его как Trojan-Ransom.JS.Agent.dy, но первоначально зараженный компьютер пока не вычислил (либо на нем просто нет файлов *.key)

А нашли по логам антивируса, кто и с какого ПК запустили его? Так как если не удалить вредоносное ПО, то оно может продолжать портить файлы.

 

После заражения я на каждом ПК прогнал cureitом, а файл я нашел просмотрев все письма за пару дней до заражения, скачал архив и проверил KES. А вот кто первый открыл это письмо так пока и не нашел. Больше никто не жаловался на то, что не открываются файлы.

[SQ]

После заражения я на каждом ПК прогнал cureitом, а файл я нашел просмотрев все письма за пару дней до заражения, скачал архив и проверил KES. А вот кто первый открыл это письмо так пока и не нашел. Больше никто не жаловался на то, что не открываются файлы.

Как вариант возможно открыл удаленный пользователь с доступом в корпоративную сеть или пользователь с ноутбуком, который находиться в офисе не постоянно.