Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вирус шифровальщик - Windows 2008 R2

Alex_Z
 Share Подписчики 0

Рекомендуемые сообщения

Alex_Z

Alex_Z 0

Опубликовано
Опубликовано

Добрый вечер!

Сегодня обнаружили, что практически все файлы на windows server 2008 r2 зашифрованы, а в каждой категории лежат аналогичные файлы txt с посланием:

 

************************************************************
SYSTEM DAMAGED! FILES WILL BE DELETED!
URGENT ATTENTION!
************************************************************
To restore your files and access them, you need to pay 5 bitcoins
Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M
After payment contact us to receive your password key.
Contact Email : repairme2017@keemail.me
With subject (Personal ID) : error66733200124
In order to purchase Bitcions you can use :
www.coinbase.com
www.localbitcoin.com
============================================================
IMPORTANT! IF YOU DON'T PAY IN MAXIM 24 HOURS ALL YOUR FILES
WILL BE PERMANENTLY DELETED!!!
============================================================
 
Бэкапы файлов есть, но не совсем свежие, возможно ли расшифровать данные?
 
В приложении отчеты из AutoLogger и Farbar Recovery Scan Tool
 

CollectionLog-2017.05.18-17.33.zip

frst-addition.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelCLSID('{44BBA840-CC51-11CF-AAFA-00AA00B6015C}');
 QuarantineFile('C:\Users\IUSR_S~1\AppData\Local\Temp\fe5O12u13h5ks6f.exe','');
 SetServiceStart('spoolsrvrs', 4);
 SetServiceStart('wcvvses', 4);
 SetServiceStart('werlsfks', 4);
 SetServiceStart('wscsvs', 4);
 DeleteService('wscsvs');
 DeleteService('werlsfks');
 DeleteService('wcvvses');
 DeleteService('spoolsrvrs');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe');
 TerminateProcessByName('c:\windows\system\msinfo.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe','');
 QuarantineFile('c:\windows\system\msinfo.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','32');
 DeleteFile('c:\windows\system\msinfo.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','32');
 DeleteFile('C:\Users\IUSR_S~1\AppData\Local\Temp\fe5O12u13h5ks6f.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузку компьютера выполните вручную.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на сообщение
Поделиться на другие сайты
Alex_Z

Alex_Z 0

Опубликовано
  • Автор
Опубликовано (изменено)

Карантин, кажется, пуст.

Re: quarantine.zip [KLAN-6263709301]
newvirus@kaspersky.com
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 

 


НОВЫЕ логи Autologger

CollectionLog-2017.05.19-07.55.zip

Изменено пользователем regist
убрал адрес почты, пока не заспамили
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Удалите Addition.txt и сделайте новые логи Farbar.

 

Пришлите в архиве образцы шифрованных файлов.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

А есть шифрованные doc или docx файлы? Если можно по десятку штук каждого типа.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\Users\Administrator2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\Users\IUSR_Servs\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
S2 xWinWpdSrv; c:\windows\system\msinfo.exe -s -syn 1500 [X]
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Перезагрузку компьютера выполните вручную.
Ссылка на сообщение
Поделиться на другие сайты
Alex_Z

Alex_Z 0

Опубликовано
  • Автор
Опубликовано

Дешифратор работает!

Восстановил все документы и ярлыки.

Премного благодарен команде forum.kasperskyclub.ru, в частности - Thyrex!

Напоследок, что порекомендуете в отношении зараженного сервера?

-забрать файлы и переустанавливать ОС

-или можно как-то удалить вредоносное ПО, затем установить пакет обновления для windows (оставив машину в работе)?

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • serg12345
      Вирус pedrolloanisimka
      От serg12345
      Подхватили вирус и всё зашифровано. Есть возможность помочь в этом? 
    • sysmgv113
      Расшифровать файлы
      От sysmgv113
      Компания "МЕТА" являемся пользователями  продукта:
      Kaspersky Small Office Security Desktop International Edition: 14 Desktops; Kaspersky
      Small Office Security 7.0 File Server Protection : 1 FileServer; Kaspersky Password
      Manager: 14 Users; Kaspersky Internet Security for Android: 14 Mobile devices
       
      На экране Server 2003 (легальная копия) появилось сообщение:
      All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail 3441546223@qq.com Write this ID in the title of your message C4A32041 In case of no answer in 24 hours write us to theese e-mails:3441546223@qq.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
      И на всех дисках файлы оказались зашифрованы вирусом шифровальщиком.
      Помогите с расшифровкой, пожалуйста.
      Лог прилагаю
      https://cloud.mail.ru/public/2oFq/rHWu4dC1S
    • jlexa2008
      Шифровальщик .cryptopatronum@protonmail.com.enk
      От jlexa2008
      Здравствуйте, вирус шифровальщик зашифровал все важные файлы на компьютере (базы SQL и прочие)
       
      файлик HOW TO RECOVER ENCRYPTED FILES.txt.cryptopatronum@protonmail.com
      описание вымогателей зашифровал сам себя прочитать его невозможно
       
      во вложении файл автоматического сборщика логов ( + там же от Farbar Recovery Scan Tool  2 лог файла)
      пример зашифрованного файла в архиве (и оригинальный файл) (чат.png)

      проверка антивирусной программой (касперского) ничего не нашла (запускал на сервере, файлы на котором зашифровались, он находится в удаленном доступе)
      CollectionLog-2020.01.27-10.56.zip
    • Роман933
      Помогите расшифровать файлы .bora от вируса-шифровальщика
      От Роман933
      Здравствуйте!
      Помогите расшифровать файлы с расширением .bora от вируса-шифровальщика (Ransomware). Нигде в сети по такому расширению информации нет. Обычные дешифраторы не помогают. Windows 7 не был настроен на регулярное архивирование, поэтому прежних копий файлов не сохранилось.
      Пробовал
      Recuva
      STOPDecrypter
      Hetman_partition_recovery
      RS_file_repair и другие - ничего не помогает. Я в отчаянии.
       

      Сообщение от модератора thyrex Перенесено из Компьютерной помощи
    • doneld
      Шифровальщик .[veracrypt@foxmail.com].adobe
      От doneld
      Добрый день, поймал шифровальщик veracrypt@foxmail.com.
      Видимо пролез по rdp через пользователя без прав. В какойто момент увидел у юзера левый процесс "veracrypt@foxmail.com.exe", вроде вовремя выключил, но зашифровал добротную кучу файлов.
×
×
  • Создать...