Перейти к содержанию

Вирус-шифровальщик .sage (Trojan.Encoder.10307)

vrate
 Share

Рекомендуемые сообщения

vrate Новичок

vrate

Опубликовано
Опубликовано

24.02.2017 на почту поступило письмо. Был прикреплен архив Invoice.Ref.54895 внутри которого был JavaScripts

Запустив который, - были зашифрованы все файлы doc, xls, xml, jpg, avi, txt, db, rar..... и так далее. Вообщем кроме браузеров и пару установочных файлов - больше ничего полезного не осталось

Теперь все файлы получили расширение *.sage

и в каждой папке где зашифрован файл, появился новый житель, файл !HELP_SOS.hta, запускать который так и не рискнул

Прошу помощи у знатоков данного профиля.

Спасибо

CollectionLog-2017.02.26-21.33.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скрипт сохранился? Мне его в ЛС пришлите

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\wsaudio.dll','');
 QuarantineFile('C:\Users\House\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','');
 QuarantineFile('C:\Users\House\AppData\Roaming\btVVq9iW.exe','');
 DeleteFile('C:\Users\House\AppData\Roaming\btVVq9iW.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\mtMbg2bf','32');
 DeleteFile('C:\Users\House\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','32');
 DeleteFile('C:\Windows\system32\wsaudio.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
vrate Новичок

vrate

Опубликовано
  • Автор
Опубликовано (изменено)

Скрипт сохранился? Мне его в ЛС пришлите

 

Выполните скрипт в AVZ

Выполните скрипт в AVZ

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

 

Отправил вирус-скрипт в ЛС

Предложенные скрипты выполнил и отправил письмо

 

KLAN-5887384318

Новое логи прикрепляю к сообщению

CollectionLog-2017.02.26-22.58.zip

Изменено пользователем vrate
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

А пароль к отправленному в ЛС мне самому подбирать? :)

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
vrate Новичок

vrate

Опубликовано
  • Автор
Опубликовано

@vrate, наберитесь терпения, пожалуйста.

Прошу прощения. Я готов ждать, понимая Ваш титанический труд

п.с. пароль к скрипту в лс - 1111

п.с.2: прошу прощения, думал это сохраненный файл с почты)

FRST+Addition.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Какой из случаев Ваш http://id-ransomware.blogspot.com.by/2017/01/sage-2-ransomware.html ?
 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S2 d3dadapter; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 ihctrl32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 kbdmai; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 wlanmgr; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 wsaudio; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
2017-02-24 16:43 - 2017-02-24 16:43 - 0000065 _____ () C:\Users\House\AppData\Roaming\4bl5A9Ca.tmp
2016-05-03 18:05 - 2016-05-03 18:05 - 0000000 _____ () C:\Users\House\AppData\Local\57B2.tmp
2016-05-03 18:05 - 2016-05-03 18:05 - 0000000 _____ () C:\Users\House\AppData\Local\57B3.tmp
2016-05-03 18:05 - 2016-05-03 18:05 - 0000000 _____ () C:\Users\House\AppData\Local\57C3.tmp
Task: {35747268-2786-4427-8A00-A707885ED18C} - \mtMbg2bf -> No File <==== ATTENTION
Task: {77BBBE93-94B6-461B-A698-D7D597776FE3} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {94B48B1F-5A0E-4B30-BA5C-A040DD5B838D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\House:id [32]
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [134]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:56E2E879 [134]
MSCONFIG\startupreg: AceStream => 
Reboot:

2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
vrate Новичок

vrate

Опубликовано
  • Автор
Опубликовано (изменено)

 

Какой из случаев Ваш http://id-ransomware.blogspot.com.by/2017/01/sage-2-ransomware.html ?

 

Немного не понял вопрос.

После заражения. сразу проверил утилитой dr web cureit и удалил найденные трояны.

Во всех папках есть файлик "HelpSOS!.hta"  который я не рискнул запускать и не знаю инфо касательно суммы вымагателей

Судя по всему, вот они

https://www.virustotal.com/en/file/2011a5b2e90763872ab43517bd7c6fc0dbc146e986055d593dec17744897e9db/analysis/1488014482/

https://www.hybrid-analysis.com/sample/3e8a067e193b9c18813119dcef93e84958835243c618a9cf334583a62e819af3?environmentId=100&lang=ru

 

 

п.с. могу прикрепить папку с логами dr.web

Fixlog.txt

Изменено пользователем vrate
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Ч_Александр
      Поймал шифровальщик Trojan.Encoder.37448
      От Ч_Александр
      Добрый день.
      Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
      Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
      Есть скрин "Резервного хранилища", к сожалению очищено.
      Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
      Скрин и файл с требованием во вложении.
      Могу предоставить зашифрованные файлы.
      Есть ли шанс на расшифровку?
       
      П.С.
      Ответ DRWEB
       Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

      #Read-for-recovery.txt
    • trambler3
      Поймал шифровальщика (предположительно Trojan.Encoder.37448)
      От trambler3
      1. ОС переустановлена т.к. необходимо рабочее место.
      2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 
      F.7z
    • boshs
      вирус шифровальщик UUUUUU.uuu
      От boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      От Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      От CreativeArch
      Log.7z
×
×
  • Создать...