rar Словил шифровальщика. Помогите разобраться

6 февраля, 2017

Добрый день. Словил похожего шифровальщика.

Помогите разобраться.

SRV_2017-02-06_10-25-52.7z

Изменено 6 февраля, 2017 пользователем val35ru

6 февраля, 2017

Порядок оформления запроса о помощи

6 февраля, 2017

Антивирус ничего не показал, лог в приложении

CollectionLog-2017.02.06-11.31.zip

6 февраля, 2017

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 QuarantineFile('C:\Windows\system32\var.bat', '');
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

(Злоумышленника ищите среди тех, у кого был физический доступ к пострадавшему компьютеру).

6 февраля, 2017

Ответ от newvirus@kaspersky.com:

Re: Карантин AVZ [KLAN-5747160720]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
var.bat

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

Поломали скорее всего терминальную сессию.

Касперский выдал предупреждение о файле NTPassworder.exe

CollectionLog-2017.02.06-12.17.zip

6 февраля, 2017

Покажите содержимое файла C:\Windows\system32\var.bat

6 февраля, 2017

Покажите содержимое файла C:\Windows\system32\var.bat

:Repeat

set /p promt=?????.exe not found.^>

if not %promt%==qqqq goto 20

20 exit

cmd.exe

6 февраля, 2017

Поломали скорее всего терминальную сессию

Вероятно нечто подобное было проделано.

Повторю:

ищите среди тех, у кого был физический доступ

6 февраля, 2017

Т.е ничего не сделать? Связался с товарисчами, которые зашифровали все. Попросили 0,4 биткоина.

Кстати, при подключении по RDP начал писать что не удается проверить подлинность компьютера, раньше этого не было...

6 февраля, 2017

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

6 февраля, 2017

Файлы Farbar

Addition.txt

FRST.txt

Shortcut.txt

6 февраля, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4085971657-25008305-740204268-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-4085971657-25008305-740204268-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com?cid={9531EC00-89E7-462C-A584-AF3EC0610E93}&mid=de42cb5748e947d2b7c61943ef6cc5ae-157a616528dc3db6ecf84b210552167d64bd7bc4&lang=ru&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-13 21:15:38&v=4.1.0.411&pid=wtu&sg=&sap=hp
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Связался с товарисчами, которые зашифровали все

Как связались? Был текст с требованием выкупа? В каком файле?

6 февраля, 2017

Файлик с координатами был "с помощью в расшифровке". Написал письмо, прислали ответ. Помогут за 0,4 биткоина. Могу файлик скинуть.

6 февраля, 2017

Прикрепите. Какое расширение получили зашифрованные файлы?

6 февраля, 2017

Фикслог. Файлик обычный, *.txt

файлик могу отправить в личку, чтобы не спугнуть товарисчей.

все файлы с расширением *.rar

Fixlog.txt

rar Словил шифровальщика. Помогите разобраться

Рекомендуемые сообщения

val35ru

thyrex

val35ru

Sandor

val35ru

Sandor

val35ru

Sandor

val35ru

Sandor

val35ru

Sandor

val35ru

Sandor

val35ru

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum