@WanaDecryptor@ посетил и меня

[Andkit]

Вчера около 13:00 по МСК у меня зашифровались файлы на компьютере! 

 

После этого пк перезагрузился и рабочий стол перестал работать, вообще О_о ( судя потом, я понял что там должен был быть баннер ) 

пришлось аварийно выключить ноут и откатить систему, после этого, я проверил пк на вирусы антивирусной утилитой AdwCleaner а потом Dr Weber Cureit - он нашел только...(прикладываю скрин)  

 

Зашифрованные файлы имеют розширение .WNCRY 

 

В каждой папке на диску D:\   иметься 2 файла:  

@Please_Read_Me@.txt  ;   @WanaDecryptor@.exe (также был зашифрован и рабочий стол, но на диску С:\ только он, насколько пока мне это известно) 

 

P.S. Никаких обновлений я пока не устанавливал, и портов не закрывал, жду следующих указаний от вас .....????

CollectionLog-2017.05.13-20.11.zip

[regist]

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\life\AppData\Local\Temp\signaturereloaded.zip', '');
 QuarantineFileF('C:\ProgramData\njurjtuvi143', '*', true, '', 0, 0);
 DeleteFile('C:\Users\life\AppData\Local\Temp\signaturereloaded.zip', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "SidebarExecute" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\njurjtuvi143', '*', true);
 DeleteDirectory('C:\ProgramData\njurjtuvi143');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

3) "Пофиксите" в HijackThis:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (no name) - (no URL)
O4 - MSConfig\startupfolder: C:^Users^life^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Cloud Mail.Ru.lnk - C:\Users\life\AppData\Local\Mail.Ru\Cloud\Cloud.exe -noballoon (2017/03/27) (file missing)
O4 - MSConfig\startupreg: [GUDelayStartup] C:\Program Files (x86)\Glary Utilities 5\StartupManager.exe -delayrun (file missing) (HKCU) (2016/12/11)
O8 - Extra context menu item: Скачать все ссылки с помощью IDM - C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm (file missing)
O8 - Extra context menu item: Скачать с помощью IDM - C:\Program Files (x86)\Internet Download Manager\IEExt.htm (file missing)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase0Sync - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase1Modified - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase2Error - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file)
O21 - ShellIconOverlayIdentifiers: 0YndCase3Shared - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file)
O21-32 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21-32 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21-32 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)
O22 - Task (Queued): \Lenovo\Lenovo Customer Feedback Program 64 35 - C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\StartRecording - C:\Windows\ehome\ehrec /StartRecording (file missing)
O22 - Task (Ready): \Microsoft\Windows\Media Center\mcupdate_scheduled - C:\Windows\ehome\mcupdate -crl -hms -pscn 15 (file missing)

 

4) файл

C:\Windows\System32\drivers\etc\hosts 

заархивируйте и прикрепите к сообщению.

 

5) Очень рекомендую пересмотреть список рассашаренных папок. У вас мусорная корзина расшарена   

 

6) Поставьте обновление KB4019263  
И в будущем не забывайте своевременно обновляться.

 

7) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Andkit]

Здравствуйте regist =) 

 

 

1) Провел процедуру VirusDetector 

Результаты проверки онлайн-сервисом VirusDetector здесь: https://virusinfo.info/virusdetector/report.php?md5=CD74E4ADBED8B5111710315D1379177F

 

Далее выполнил ваш скрипт в АВЗ 

 

2) Но вот что странно, файл quarantine.zip пуст! ... 

 

3) Пофиксував данные строки в HikackThis. Все прелестно ( ^ _ ^ ) 

 

4) файл hosts прикладываю =)

 

5) аааааа Корзину почистил 

 

6) Обновление KB4019263 поставил, на счет обновлений, то постараюсь обновляться чаще ;-)

 

6) FRST64 скачал, файлы прикладываю ( ^  ^ )

hosts.zip

Addition.txt

FRST.txt

Shortcut.txt

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  2017-05-12 18:04 - 2017-05-12 18:04 - 00000933 _____ C:\Users\life\Desktop\@Please_Read_Me@.txt
  Task: {DCC2EA70-54C0-4DC2-8FAB-481370086946} - \JetBoost_AutoUpdate -> No File <==== ATTENTION
  ShortcutWithArgument: C:\Users\life\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://umerisa.ru/?utm_source=startlink03&utm_content=8d6bcae84b562519687209f26205934a&utm_term=C781BEAF8DBE29ADC6B26604678823BE&utm_d=20160611"
  AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:bQHvG5Y469Yi3zAuKJFvzSA [2382]
  AlternateDataStreams: C:\Program Files\Common Files\System:zMX6GiGtqQzil2wn1KOYySn [2288]
  AlternateDataStreams: C:\ProgramData\Microsoft:3Kv5lc2fgB5T6Q7nnB7rTp [2058]
  AlternateDataStreams: C:\ProgramData\Microsoft:74xlGycBNR31f55kVGeNfn [2376]
  AlternateDataStreams: C:\Users\life\Cookies:hdDKPW7VeIM6UbOr80tr46x3 [480]
  AlternateDataStreams: C:\Users\life\Documents:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26]
  AlternateDataStreams: C:\Users\life\Мои документы:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:3Kv5lc2fgB5T6Q7nnB7rTp [2058]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:74xlGycBNR31f55kVGeNfn [2376]
  AlternateDataStreams: C:\Users\☼☼☼\Cookies:hdDKPW7VeIM6UbOr80tr46x3 [2322]
  AlternateDataStreams: C:\Users\☼☼☼\Cookies:U3aSv884AQBHDAOWRQibYf [2356]
  AlternateDataStreams: C:\Users\☼☼☼\Local Settings:mJSklDKbwtgix5plh7gt [2154]
  AlternateDataStreams: C:\Users\☼☼☼\AppData\Local:mJSklDKbwtgix5plh7gt [2154]
  AlternateDataStreams: C:\Users\☼☼☼\AppData\Local\Application Data:mJSklDKbwtgix5plh7gt [2154]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 

[Andkit]

Отлично!

 

Скрипт выполнил 

 

А вот лог-файл 

Fixlog.txt

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

Раз восстановление системы было включено, то можете, попробовать восстановить файлы из теневых копий.
 
Больше помочь нечем, расшифровки пока нет.

[Andkit]

Хорошо

 

 

После выполнения данного скрипта...., уязвимости некоторые все же нашлись:-/ думаю это сейчас есть главное, что нужно сделать - это закрыть их! Еще к этому, я закрыл порт 445, как утверждали эксперты на сайте comss.ru видимо он тоже связан с атакой

 

 

Выражаю большую благодарность ВАМ за помощь, было очень приятно с вами работать =)

 

Удачи вам в будущем ( ^ _ ~ ) 

Изменено 14 мая, 2017 пользователем Soft
поправил форматирование

[regist]

Для надежности можете поставить ещё отдельно это обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 поставить. В теории оно должно входить в то, что дал вам выше, но всё-таки.

А если закрыли порт, то должны быть в курсе, то у вас могут быть проблемы с сетевыми устройствами (типа принтеров) или обменов файлов по сети. Так что по мне обновлений достачно.