Шифровальщик, расширение .du1732, email вымогателей dumdos@ya.ru

[Alx_trvkn]

Добрый день. Сервер словил вирус дважды: первый раз файлы были зашифрованы на съемном носителе, подключенным к серверу, скорее всего кто-то из двух пользователей, имеющих доступ, запустил его через вложение в почте.

Удалив его антивирусом, не стал заморачиваться с дешифровкой, тк зараженные файлы были не нужны. Кстати, шифрование/email вымогателя отличались от вторичного заражения

 

Второе заражение произошло вчера, в этот раз уже были зашифрованы файлы на основном диске. Просмотр журнала показал, что был создан пользователь с правами админа, через него был выполнен вход, использовалась утилита PsExec, с помощью которой выполнялись нужные команды, в тч деинсталляция антивируса, и тп... Пользователя этого я уже удалил, а вот PsExec была удалена самими злоумышленниками после запуска шифровальщика.

 

Согласно порядка оформления заявки, скачал и выполнил проверку KVRT, запустил сборщик логов. Прилагаю архив с логами а также файл с адресом вымогателей.

Для доступа на сервер для сбора логов я использовал приложение Teamviewer

 

Буду рад любой помощи,

С уважением,

Александр 

CollectionLog-2017.05.06-13.57.zip

КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

[thyrex]

Образцы зашифрованных doc или docx файлов пришлите в архиве.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\7272~1\AppData\Local\Temp\mvQjSRNiy6t8YC3.exe','');
 QuarantineFile('c:\windows\syswow64\radiance\wizard.exe','');
 TerminateProcessByName('C:\Windows\SysWOW64\Resident\wahiver.exe');
 QuarantineFile('C:\Windows\SysWOW64\Resident\wahiver.exe','');
 DeleteFile('C:\Windows\SysWOW64\Resident\wahiver.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmeter','command');
 DeleteFile('C:\Users\7272~1\AppData\Local\Temp\mvQjSRNiy6t8YC3.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger