Перейти к содержанию

Вирус-шифровальщик .sage (Trojan.Encoder.10307)

vrate
 Поделиться

Рекомендуемые сообщения

vrate Новичок

vrate

Опубликовано
Опубликовано

24.02.2017 на почту поступило письмо. Был прикреплен архив Invoice.Ref.54895 внутри которого был JavaScripts

Запустив который, - были зашифрованы все файлы doc, xls, xml, jpg, avi, txt, db, rar..... и так далее. Вообщем кроме браузеров и пару установочных файлов - больше ничего полезного не осталось

Теперь все файлы получили расширение *.sage

и в каждой папке где зашифрован файл, появился новый житель, файл !HELP_SOS.hta, запускать который так и не рискнул

Прошу помощи у знатоков данного профиля.

Спасибо

CollectionLog-2017.02.26-21.33.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скрипт сохранился? Мне его в ЛС пришлите

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\wsaudio.dll','');
 QuarantineFile('C:\Users\House\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','');
 QuarantineFile('C:\Users\House\AppData\Roaming\btVVq9iW.exe','');
 DeleteFile('C:\Users\House\AppData\Roaming\btVVq9iW.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\mtMbg2bf','32');
 DeleteFile('C:\Users\House\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','32');
 DeleteFile('C:\Windows\system32\wsaudio.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
vrate Новичок

vrate

Опубликовано
  • Автор
Опубликовано (изменено)

Скрипт сохранился? Мне его в ЛС пришлите

 

Выполните скрипт в AVZ

Выполните скрипт в AVZ

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

 

Отправил вирус-скрипт в ЛС

Предложенные скрипты выполнил и отправил письмо

 

KLAN-5887384318

Новое логи прикрепляю к сообщению

CollectionLog-2017.02.26-22.58.zip

Изменено пользователем vrate
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

А пароль к отправленному в ЛС мне самому подбирать? :)

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
vrate Новичок

vrate

Опубликовано
  • Автор
Опубликовано

@vrate, наберитесь терпения, пожалуйста.

Прошу прощения. Я готов ждать, понимая Ваш титанический труд

п.с. пароль к скрипту в лс - 1111

п.с.2: прошу прощения, думал это сохраненный файл с почты)

FRST+Addition.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Какой из случаев Ваш http://id-ransomware.blogspot.com.by/2017/01/sage-2-ransomware.html ?
 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S2 d3dadapter; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 ihctrl32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 kbdmai; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 wlanmgr; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 wsaudio; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
2017-02-24 16:43 - 2017-02-24 16:43 - 0000065 _____ () C:\Users\House\AppData\Roaming\4bl5A9Ca.tmp
2016-05-03 18:05 - 2016-05-03 18:05 - 0000000 _____ () C:\Users\House\AppData\Local\57B2.tmp
2016-05-03 18:05 - 2016-05-03 18:05 - 0000000 _____ () C:\Users\House\AppData\Local\57B3.tmp
2016-05-03 18:05 - 2016-05-03 18:05 - 0000000 _____ () C:\Users\House\AppData\Local\57C3.tmp
Task: {35747268-2786-4427-8A00-A707885ED18C} - \mtMbg2bf -> No File <==== ATTENTION
Task: {77BBBE93-94B6-461B-A698-D7D597776FE3} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {94B48B1F-5A0E-4B30-BA5C-A040DD5B838D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\House:id [32]
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [134]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:56E2E879 [134]
MSCONFIG\startupreg: AceStream => 
Reboot:

2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
vrate Новичок

vrate

Опубликовано
  • Автор
Опубликовано (изменено)

 

Какой из случаев Ваш http://id-ransomware.blogspot.com.by/2017/01/sage-2-ransomware.html ?

 

Немного не понял вопрос.

После заражения. сразу проверил утилитой dr web cureit и удалил найденные трояны.

Во всех папках есть файлик "HelpSOS!.hta"  который я не рискнул запускать и не знаю инфо касательно суммы вымагателей

Судя по всему, вот они

https://www.virustotal.com/en/file/2011a5b2e90763872ab43517bd7c6fc0dbc146e986055d593dec17744897e9db/analysis/1488014482/

https://www.hybrid-analysis.com/sample/3e8a067e193b9c18813119dcef93e84958835243c618a9cf334583a62e819af3?environmentId=100&lang=ru

 

 

п.с. могу прикрепить папку с логами dr.web

Fixlog.txt

Изменено пользователем vrate
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • velykov
      Активность Trojan.Encoder.37448
      Автор velykov
      Здравствуйте, возможно ли расшифровать данные предположительно после Trojan.Encoder.37448, судя по всему что-то в размере 1кб дописано в каждый файл, расширения у всех офисных файлов, картинок стали с расширением *.1cxz рядом лежит файл #HowToRecover.txt с содержимым:
       
       
      Есть пример зашифрованных стандартных картинок, например хризантема и в зип архиве пример зашифрованного файла. Иконка у зашифрованного файла в виде черного символа биткойна.

      #HowToRecover.txt t8TcrwidL6.zip
      Addition.txt FRST.txt
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      Автор Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • Soft619
      Пойман Trojan.Encoder.31074 (Lockbit 3)
      Автор Soft619
      Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 
      Files.zip
×
×
  • Создать...