Вирус шифровальщик - Windows 2008 R2

[Alex_Z]

Добрый вечер!

Сегодня обнаружили, что практически все файлы на windows server 2008 r2 зашифрованы, а в каждой категории лежат аналогичные файлы txt с посланием:

 

************************************************************

SYSTEM DAMAGED! FILES WILL BE DELETED!

URGENT ATTENTION!

************************************************************

To restore your files and access them, you need to pay 5 bitcoins

Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M

After payment contact us to receive your password key.

Contact Email : repairme2017@keemail.me

With subject (Personal ID) : error66733200124

In order to purchase Bitcions you can use :

www.coinbase.com

www.localbitcoin.com

============================================================

IMPORTANT! IF YOU DON'T PAY IN MAXIM 24 HOURS ALL YOUR FILES

WILL BE PERMANENTLY DELETED!!!

============================================================

 

Бэкапы файлов есть, но не совсем свежие, возможно ли расшифровать данные?

 

В приложении отчеты из AutoLogger и Farbar Recovery Scan Tool

 

CollectionLog-2017.05.18-17.33.zip

frst-addition.zip

[thyrex]

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelCLSID('{44BBA840-CC51-11CF-AAFA-00AA00B6015C}');
 QuarantineFile('C:\Users\IUSR_S~1\AppData\Local\Temp\fe5O12u13h5ks6f.exe','');
 SetServiceStart('spoolsrvrs', 4);
 SetServiceStart('wcvvses', 4);
 SetServiceStart('werlsfks', 4);
 SetServiceStart('wscsvs', 4);
 DeleteService('wscsvs');
 DeleteService('werlsfks');
 DeleteService('wcvvses');
 DeleteService('spoolsrvrs');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe');
 TerminateProcessByName('c:\windows\system\msinfo.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe','');
 QuarantineFile('c:\windows\system\msinfo.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','32');
 DeleteFile('c:\windows\system\msinfo.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','32');
 DeleteFile('C:\Users\IUSR_S~1\AppData\Local\Temp\fe5O12u13h5ks6f.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузку компьютера выполните вручную.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Alex_Z]

Карантин, кажется, пуст.

Re: quarantine.zip [KLAN-6263709301]

newvirus@kaspersky.com

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 

 

НОВЫЕ логи Autologger

CollectionLog-2017.05.19-07.55.zip

Изменено 19 мая, 2017 пользователем regist
убрал адрес почты, пока не заспамили

[thyrex]

Удалите Addition.txt и сделайте новые логи Farbar.

 

Пришлите в архиве образцы шифрованных файлов.

[Alex_Z]

Новые логи и примеры файлов.

add-frst.zip

examp.zip

[thyrex]

А есть шифрованные doc или docx файлы? Если можно по десятку штук каждого типа.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\Users\Administrator2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\Users\IUSR_Servs\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
S2 xWinWpdSrv; c:\windows\system\msinfo.exe -s -syn 1500 [X]

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Перезагрузку компьютера выполните вручную.

[Alex_Z]

Нашелся только 1 doc - файл

 

Fixlog.zip

Дополнительно к инструкции_430.doc.zip

[thyrex]

Проверьте ЛС

[Alex_Z]

Дешифратор работает!

Восстановил все документы и ярлыки.

Премного благодарен команде forum.kasperskyclub.ru, в частности - Thyrex!

Напоследок, что порекомендуете в отношении зараженного сервера?

-забрать файлы и переустанавливать ОС

-или можно как-то удалить вредоносное ПО, затем установить пакет обновления для windows (оставив машину в работе)?

[thyrex]

Вирус удален, в переустановке нет смысла. Пароль от RDP смените

[Alex_Z]

ок, еще раз, огромное спасибо!