Перейти к содержанию

Вирус шифровальщик - Windows 2008 R2

Alex_Z
 Поделиться

Рекомендуемые сообщения

Alex_Z Новичок

Alex_Z

Опубликовано
Опубликовано

Добрый вечер!

Сегодня обнаружили, что практически все файлы на windows server 2008 r2 зашифрованы, а в каждой категории лежат аналогичные файлы txt с посланием:

 

************************************************************
SYSTEM DAMAGED! FILES WILL BE DELETED!
URGENT ATTENTION!
************************************************************
To restore your files and access them, you need to pay 5 bitcoins
Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M
After payment contact us to receive your password key.
Contact Email : repairme2017@keemail.me
With subject (Personal ID) : error66733200124
In order to purchase Bitcions you can use :
www.coinbase.com
www.localbitcoin.com
============================================================
IMPORTANT! IF YOU DON'T PAY IN MAXIM 24 HOURS ALL YOUR FILES
WILL BE PERMANENTLY DELETED!!!
============================================================
 
Бэкапы файлов есть, но не совсем свежие, возможно ли расшифровать данные?
 
В приложении отчеты из AutoLogger и Farbar Recovery Scan Tool
 

CollectionLog-2017.05.18-17.33.zip

frst-addition.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelCLSID('{44BBA840-CC51-11CF-AAFA-00AA00B6015C}');
 QuarantineFile('C:\Users\IUSR_S~1\AppData\Local\Temp\fe5O12u13h5ks6f.exe','');
 SetServiceStart('spoolsrvrs', 4);
 SetServiceStart('wcvvses', 4);
 SetServiceStart('werlsfks', 4);
 SetServiceStart('wscsvs', 4);
 DeleteService('wscsvs');
 DeleteService('werlsfks');
 DeleteService('wcvvses');
 DeleteService('spoolsrvrs');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe');
 TerminateProcessByName('c:\windows\system\msinfo.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe','');
 QuarantineFile('c:\windows\system\msinfo.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','32');
 DeleteFile('c:\windows\system\msinfo.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','32');
 DeleteFile('C:\Users\IUSR_S~1\AppData\Local\Temp\fe5O12u13h5ks6f.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузку компьютера выполните вручную.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
Alex_Z Новичок

Alex_Z

Опубликовано
  • Автор
Опубликовано (изменено)

Карантин, кажется, пуст.

Re: quarantine.zip [KLAN-6263709301]
newvirus@kaspersky.com
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 

 


НОВЫЕ логи Autologger

CollectionLog-2017.05.19-07.55.zip

Изменено пользователем regist
убрал адрес почты, пока не заспамили
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

А есть шифрованные doc или docx файлы? Если можно по десятку штук каждого типа.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\Users\Administrator2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\Users\IUSR_Servs\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
S2 xWinWpdSrv; c:\windows\system\msinfo.exe -s -syn 1500 [X]
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Перезагрузку компьютера выполните вручную.
Ссылка на комментарий
Поделиться на другие сайты
Alex_Z Новичок

Alex_Z

Опубликовано
  • Автор
Опубликовано

Дешифратор работает!

Восстановил все документы и ярлыки.

Премного благодарен команде forum.kasperskyclub.ru, в частности - Thyrex!

Напоследок, что порекомендуете в отношении зараженного сервера?

-забрать файлы и переустанавливать ОС

-или можно как-то удалить вредоносное ПО, затем установить пакет обновления для windows (оставив машину в работе)?

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • Artem1994
      Остатки вируса майнера и ограничения защитника Windows
      Автор Artem1994
      Здравствуйте. Установил по глупости вирус-майнер с зараженной игрой, путем поиска информации по разным форумам, с помощью Rkill разблокировал компьютер, чтобы он не вылетал с браузера и папки Program data (к чему приводил майнер), потом запустил DrWeb Cureit, который удалил вирусы, потом еще запустил AV block remover на поиск проблем, проблемы не найдены, также почистил, получив в ручном режиме отобранные разрешения, папки, созданные майнером в Program data/Program Files, которые были скрыты как системные и назывались именами антивирусов и других популярных программ. Хотел узнать есть ли остатки вируса на компьютере? И самое главное, не блокируется ли больше Windows Defender, потому что майнер его блокировал, хотя он работал, но майнера не видел и так не увидел вирус, даже после разблокировки компьютера rKillом. Это интересует, так как использую Windows Defender как единственный антивирус на компьютере. Логи прикрепляю. 
      CollectionLog-2025.04.26-22.44.zip
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      Автор Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
×
×
  • Создать...