Шифровальщик WannaDecryptor

[NikZn]

Вчера вечером обнаружил на своем компьютере вирус-шифровальщик WannaDecryptor, который изменил расширение многих файлов на .WNCRY. Попытка расшифровать их с помощью утилиты RectorDecryptor успеха не принесла. Программа обнаружила 16 656 пораженных файлов. Согласно инструкциям на этом форуме, я выполнил сбор логов вируса.

CollectionLog-2017.05.13-06.50.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\2014~1\appdata\local\temp\{ac6f3913-6f3b-4bcf-9fd3-468d7d92a7b7}\{d46580ba-7c33-4a0d-8d97-e0f75c44f9db}.exe');
 StopService('clr_optimization_v1.03');
 QuarantineFile('c:\users\2014~1\appdata\local\temp\{ac6f3913-6f3b-4bcf-9fd3-468d7d92a7b7}\{d46580ba-7c33-4a0d-8d97-e0f75c44f9db}.exe', '');
 QuarantineFile('C:\Users\Админ2014\AppData\Roaming\System\svchost.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk', '');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\@WanaDecryptor@.exe', '');
 QuarantineFileF('C:\Users\Админ2014\AppData\Roaming\System\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\BonanzaDealsLive\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Админ2014\AppData\Roaming\System\svchost.exe', '32');
 DeleteFile('C:\@WanaDecryptor@.exe');
 DeleteFile('C:\Windows\tasks\BonanzaDealsLiveUpdateTaskMachineCore.job');
 ExecuteFile('schtasks.exe', '/delete /TN "BonanzaDealsUpdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "BonanzaDealsLiveUpdateTaskMachineUA" /F', 0, 15000, true);
 DeleteService('clr_optimization_v1.03');
 DeleteFileMask('C:\Users\Админ2014\AppData\Roaming\System\', '*', true);
 DeleteFileMask('C:\Program Files (x86)\BonanzaDealsLive\', '*', true);
 DeleteDirectory('C:\Users\Админ2014\AppData\Roaming\System\');
 DeleteDirectory('C:\Program Files (x86)\BonanzaDealsLive\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Flash Player SU', 'command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.7z из папки с AutoLogger пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут.
 

 

 

ps. у вас и без этого шифровальщика полно вирусной дряни на компе.

[NikZn]

Я выполнил Ваши инструкции. Архив вирусов с VirusDetector отправлен, но, к сожалению, к этому сообщению не получается прикрепить архив Report.7z. 
Ответ на файл quarantine.zip от AVZ:

[KLAN-6234177061] (KLAN-6234177061)

Благодарим Вас за обращение в Лаборатории Касперского 

 

Файлы были отсканированы в автоматическом режиме. 

 

Нет информации о заданных файлов можно найти в антивирусных базах: 

iexplore.url 

 

Вредоносный код был обнаружен в следующих файлах: 

 

@ WanaDecryptor @ .exe - Trojan-Ransom.Win32.Wanna.c

ClearLNK-13.05.2017_18-24.log

[regist]

 

 

но, к сожалению, к этому сообщению не получается прикрепить архив Report.7z.

загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.

[NikZn]

Готово
http://my-files.ru/xmq7sv

[regist]

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Это ещё не сделали.

[NikZn]

Делал, вот архив

CollectionLog-2017.05.13-18.31.zip

[regist]

Служба автоматического обновления программ [2017/04/14 22:22:16]-->C:\Users\Админ2014\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
Элементы Яндекса 7.2 для Internet Explorer [20131229]-->MsiExec.exe /X{EE24665C-844A-4489-9F11-70E41F4EE476}

Если сами не ставили/не используете, то деинсталируйте.

 

Программы/расширения от Mail.ru используете?

 

C:\Шифр

Эту папку сами создали?

[NikZn]

Программы от Mail'а не использую, но как-то по недосмотру установил Амиго и еще какую-то прогу от них. Папку создал сам. RectorDecryptor "просил" ее создать

[regist]

Служба автоматического обновления программ - если ещё не деинсталировали, то деинсталируйте.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[NikZn]

Готово

AdwCleanerS0.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[NikZn]

Сделано

AdwCleanerC0.txt

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[NikZn]

Есть

Shortcut.txt

FRST.txt

Addition.txt