Spora ransomware, Антивирус не видит этого червя

[jdf]

Добрый день.

В сетке возник инцидент. Пользователи на 2-х ПК несмогли в один прекрасный день открыть свои документы. Они оказались зашифрованы. Также они получили сообщение о выкупе информации от Spora ransomware.

 

Ни обновленный каспер, ни его утилиты червя в упор не видят. хотя судя по описанию из Этого источника вирус создает exe файл и кидает его в %Temp%.

Собственно там я его и обнаруживаю, все как описанно в статье.

 

Меня беспокоит следущее, кроме файлов вируса в %Temp% и созданных ярлыков папок (при клике на которые вирус рестартует), я больше ничего на ПК не обнаружил. 

Перебрал весь автозапуск, просканировал ПК всеми утилитами Касперского, какие есть на сайте, но ничего не нашел... Причем что странно сканеры не отреагировали даже на лежащий файл exe в %Temp%.

Проверил почту юзеров, но они ее чистили и отследить путь попадания вируса я не смог... прям очень жаль.

 

Очень прошу дать описание как выкурить этого червя наверняка из системы.

 

В атач прилагаю файлы червя (под паролем virus).  и результат работы AutoLogger.

 

Заранее спасибо.

 

Р.S. помошь в расшифровке не требуется.

CollectionLog-2017.01.24-09.27.zip

Изменено 24 января, 2017 пользователем Sandor
Убрал подозрительный файл

[Sandor]

Здравствуйте!

 

прилагаю файлы червя

Отправьте его по этой форме.

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[jdf]

сделал

AdwCleanerC0.txt

AdwCleanerS0.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[jdf]

сделал

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-01-24]
CHR Extension: (No Name) - C:\Users\operator\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-01-24]
2017-01-19 15:41 - 2017-01-19 15:41 - 01942176 ____R C:\Users\mto01\AppData\Roaming\RU5BA-8EOGG-ETAXH-XTZTF-GTXEG-ATRGG-GYYYY.LST
2017-01-19 15:41 - 2017-01-19 15:41 - 00009118 ____R C:\Users\mto01\AppData\Roaming\RU5BA-8EOGG-ETAXH-XTZTF-GTXEG-ATRGG-GYYYY.HTML
2017-01-19 15:26 - 2017-01-19 15:26 - 00001088 ____R C:\Users\mto01\AppData\Roaming\RU5BA-8EOGG-ETAXH-XTZTF-GTXEG-ATRGG-GYYYY.KEY
2017-01-19 15:25 - 2017-01-19 16:53 - 02708088 _____ C:\Users\mto01\AppData\Roaming\1211664037
Task: {7B5D5061-8B0C-45A2-9528-1C9CEE461E51} - System32\Tasks\{9DE03C94-9E8A-4F0F-8901-1CCBEEDB252C} => pcalua.exe -a C:\Users\mto01\AppData\Roaming\istartsurf\UninstallManager.exe -c  -ptid=cor
Task: C:\Windows\Tasks\1qbUbePS.job => C:\Users\mto01\AppData\Roaming\1qbUbePS.exe <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[jdf]

Готово.

Наверное это не сюда вопрос. Но можно, где-нибудь почитать доки, как правильно анализировать логи данных утилит, что-бы научиться самостоятельно лечиться =). Был бы весьма вам признателен за эту науку. 

Fixlog.txt

Изменено 26 января, 2017 пользователем jdf

[Sandor]

При фиксе произошел сбой? Повторите для контроля еще раз логи (сообщение №4).

 

научиться самостоятельно лечиться

Есть две школы: https://safezone.cc/training/и http://virusinfo.info/forumdisplay.php?f=187

[jdf]

Спасибо большое за ссылки. 

Фикс смогу повторить только завтра утром. Пользователь уже убежал домой. Кабинет опечатан.

[Sandor]

Фикс смогу повторить

Только не повторить фикс, а собрать повторно логи.

[jdf]

Тогда непонял, что значит собрать. Файл я скачал после перезагрузки. Мог поторопиться? Или надо Fabar как то перезапустить?

[Sandor]

Просто повторить инструкцию из сообщения №4 (качать заново утилиту не нужно).

[jdf]

готово

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Переделайте от имени администратора:

Ran by mto01 (ATTENTION: The user is not administrator)

[jdf]

Прошу прощения. Переделал.

Addition.txt

FRST.txt

Shortcut.txt