Словил шифровальщика. Помогите разобраться

[val35ru]

Добрый день. Словил похожего шифровальщика.

Помогите разобраться.

SRV_2017-02-06_10-25-52.7z

Изменено 6 февраля, 2017 пользователем val35ru

[thyrex]

Порядок оформления запроса о помощи

[val35ru]

Антивирус ничего не показал, лог в приложении

CollectionLog-2017.02.06-11.31.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Windows\system32\var.bat', '');
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

(Злоумышленника ищите среди тех, у кого был физический доступ к пострадавшему компьютеру).

[val35ru]

Ответ от newvirus@kaspersky.com:

 

Re: Карантин AVZ [KLAN-5747160720]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
var.bat

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.comhttp://www.viruslist.com"
 

 

 

Поломали скорее всего терминальную сессию.

 

Касперский выдал предупреждение о файле NTPassworder.exe

 

CollectionLog-2017.02.06-12.17.zip

[Sandor]

Покажите содержимое файла C:\Windows\system32\var.bat

[val35ru]

Покажите содержимое файла C:\Windows\system32\var.bat

:Repeat

set /p promt=?????.exe not found.^>

if not %promt%==qqqq goto 20

20 exit

cmd.exe

[Sandor]

Поломали скорее всего терминальную сессию

Вероятно нечто подобное было проделано.

 

Повторю:

ищите среди тех, у кого был физический доступ

[val35ru]

Т.е ничего не сделать? Связался с товарисчами, которые зашифровали все. Попросили 0,4 биткоина.

 

Кстати, при подключении по RDP начал писать что не удается проверить подлинность компьютера, раньше этого не было...

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[val35ru]

Файлы Farbar

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4085971657-25008305-740204268-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-4085971657-25008305-740204268-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com?cid={9531EC00-89E7-462C-A584-AF3EC0610E93}&mid=de42cb5748e947d2b7c61943ef6cc5ae-157a616528dc3db6ecf84b210552167d64bd7bc4&lang=ru&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-13 21:15:38&v=4.1.0.411&pid=wtu&sg=&sap=hp
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Связался с товарисчами, которые зашифровали все

Как связались? Был текст с требованием выкупа? В каком файле?

[val35ru]

Файлик с координатами был "с помощью в расшифровке". Написал письмо, прислали ответ. Помогут за 0,4 биткоина. Могу файлик скинуть.

[Sandor]

Прикрепите. Какое расширение получили зашифрованные файлы?

[val35ru]

Фикслог. Файлик обычный, *.txt

файлик могу отправить в личку, чтобы не спугнуть товарисчей.

все файлы с расширением *.rar

Fixlog.txt