вирус Wallet (Satan-stn)

13 апреля, 2017

Утром пришли на работу, увидели, что один из серверов зашифрован вирусом wallet

Все файлы имеют расширение: r.id-A7C85580.[satan-Stn@bitmessage.ch].wallet
Удалённый доступ был блокирован desktop lock express
От него избавились, а вот от wallet - нет.
Зашифрованы все файлы на сервере, где хранится 1С, в том числе и в ProgramFiles.
Кроме того, зашифрован внешний жёсткий диск с бэкапом и второй копьютер с 1С

CollectionLog-2017.04.13-12.23.zip

Изменено 13 апреля, 2017 пользователем SergeyKomarov

13 апреля, 2017

Здравствуйте!

Логи сделаны в терминальной сессии, сделайте их из консоли.

13 апреля, 2017

Порт дисплея выведен из строя.

Сделал логи через тимвьювер

CollectionLog-2017.04.13-14.58.zip

13 апреля, 2017

MinerGate-service - ставили самостоятельно?

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Users\lim\DOCUME~1\explorer.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\Windows\System32\Info.hta','32');
 DeleteFile('C:\Users\lim\DOCUME~1\explorer.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Desktop Lock Express');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Desktop Lock Express');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Desktop Lock Express');
ExecuteSysClean;
 ExecuteRepair(9);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

14 апреля, 2017

MinerGate-service - не ставил

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Info.hta

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Изменено 14 апреля, 2017 пользователем SergeyKomarov

14 апреля, 2017

MinerGate-service - не ставил

Значит, удалите и:

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

вирус Wallet (Satan-stn)

Рекомендуемые сообщения

SergeyKomarov

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

SergeyKomarov

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

SergeyKomarov

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum