Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

вирус Wallet (Satan-stn)

SergeyKomarov
 Share Подписчики 1

Рекомендуемые сообщения

SergeyKomarov

SergeyKomarov 0

Опубликовано
Опубликовано (изменено)

Утром пришли на работу, увидели, что один из серверов зашифрован вирусом wallet

Все файлы имеют расширение: r.id-A7C85580.[satan-Stn@bitmessage.ch].wallet
Удалённый доступ был блокирован desktop lock express
От него избавились, а вот от wallet - нет.
Зашифрованы все файлы на сервере, где хранится 1С, в том числе и в ProgramFiles.
Кроме того, зашифрован внешний жёсткий диск с бэкапом и второй копьютер с 1С

CollectionLog-2017.04.13-12.23.zip

Изменено пользователем SergeyKomarov
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

MinerGate-service - ставили самостоятельно?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Users\lim\DOCUME~1\explorer.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\Windows\System32\Info.hta','32');
 DeleteFile('C:\Users\lim\DOCUME~1\explorer.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Desktop Lock Express');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Desktop Lock Express');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Desktop Lock Express');
ExecuteSysClean;
 ExecuteRepair(9);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты
SergeyKomarov

SergeyKomarov 0

Опубликовано
  • Автор
Опубликовано (изменено)

MinerGate-service - не ставил

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Info.hta

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
    
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Изменено пользователем SergeyKomarov
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

MinerGate-service - не ставил

Значит, удалите и:

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • boris888
      Шифровальщик [cryptomafia@tuta.io]-id-DF8.wallet
      От boris888
      Доброго дня!

      Большая часть файлов в системе зашифрована. Провел чистку с использованием KVRT, затем CureIt.
      дроппер imonset.exe+ibhost, исполняемые файлы шифровальщика сохранил отдельно. Систему, с тех пор как вручную остановил процесс шифрования, не перегружал. Готов предоставить любые логи, файлы.
      Прошу профессионалов помочь с расшифровкой, надеюсь, что это возможно. Заранее Вам признателен. Жду инструкций.

      С уважением,
      Борис
    • SplunE
      шифровальщик wallet
      От SplunE
      17.10 были зашифрованы файлы на шаре расширение .VYA.id-6A9C866D.[3048664056@qq.com].wallet
      Пробовали RakhniDecryptor, он файлы "расшифровал", но они остались в виде имя_файла.VYA, не открываются, соответственно... 
      Можете помочь в "дорасшифровке"?
      Теневые копии не велись. Бекап был создан, похоже, в момент шифрования, т.к. там тоже имя_файла.VYA. К сожалению бекапили на сетевой ресурс, т.е. архив перезаписываемый.
       
      тело вымогателя:
      тыц:
       
      CollectionLog-2017.10.19-20.09.zip
    • merlin_hal
      id-70FAE858.[3048664056@qq.com] WALLET
      От merlin_hal
      Практически все файлы были зашифрованы и теперь имеют вид: *.docx.id-70FAE858.[3048664056@qq.com] Затронут как пакет MSOffice, так и *.jpg, *.pdf и т.п. Так же на локальном диске был создан файл с содержанием: 
      Your documents, photos, databases, save games and other important data has been encrypted. Data recovery requires decoder. To obtain decoder, please contact me by email: 3048664056@qq.com or patrik.swize@gmx.de or through the service https://bitmsg.me, and send me a message to the address: BM-2cWpwwPT9bqLv7D1VMSFUNJZgQ1mKBRgxK Компьютер в домене и был затронут частично сетевой диск CollectionLog-2017.04.12-14.06.zip
    • A_user
      Новый тип шифровальщика .wallet
      От A_user
      Поймал на днях шифровальщик  типа  .wallet. Расшифровать не смог.
       
      Могу предоставить зашифрованный файл и оригинал.
       
      Самого шифровальщика к сожалению нет
      CollectionLog-2017.04.02-07.02.zip
    • centnot
      rakhnidecryptor не расшифровал файлы *.wallet
      От centnot
      Добрый день, 
       
      1. Сегодня обнаружил, что вирус зашифровал файлы на сервере. 
       
      Все файлы стали вида:
      - logfile.txt.id-7CFBCC1A.[mk.cyrax@aol.com].wallet.
       
      2. В корне диска появился файл с названием "INFORMATION how to mk.cyrax.txt".
      All your files are now enccrypted.There is only one way to get it back. If you dont receive a responce from the first email within 12 hours, please use this alternative email: mk.cyrax@aol.com or reserve MKCyrax@india.com 3. Выполнил KVRT.exe на сервере 
      4. При перезапуске система спросила чем открыть файл "info.hta"
      5. Далее запустил RakhniDecryptor отсюда https://support.kaspersky.ru/viruses/disinfection/10556. Для примера выбрал один файл для расшифровки. RakhniDecryptor - написал error в лог запуска.
      6. Запустил Autologget-test.exe - файл CollectionLog-2017.03.27-14.48.zip.
      7. Запустил AVZ сканирование лог вы приложении.
       
      Пытался приложить пример зашифрованного файла в данное сообщение - получил Вы не можете загружать файлы подобного типа.
       
       
       
      avz_log.txt
      CollectionLog-2017.03.27-14.48.zip
×
×
  • Создать...