зашифровались файлы, расширение wncry

[andy1983 0]

Добрый день.

Компьютер в организации, стоит обновленная лицензионная windows 10, обновленный лицензионной Kaspersy Endpoint Security 10, по словам пользователя он ничего не скачивал, не запускал. Компьютер обычно не выключается. Сегодняшней ночью все word, excel, db, jpg, pst (это видимо неполный список, просто на первый вгляд) оказались зашифрованными, расширение wncry. Кроме того, в каждой папке появилось текстовое сообщение (оно в приложении). Сканирование drweb cure it не обнаружило ничего похожего на шифровальщик, 1 непонятный троян, по всем поискам - не шифровальщик и конвертера от freemake (лог прилагается), KVRT вообще ничего не обнаружил. Я запустил autologger, результат также прилагаю. Кроме того, у меня есть пример зашифрованного файла и файла оригинала.

Откуда шифровщик мог пролезть? Либо пользователь врет, либо я не знаю что это, снаружи 465 порт закрыт, комп был в сети и другие компы тоже были в сети, тоже были включенные, на них ни малейшего признака заражения. Куда копать? Возможно ли восстановить файлы? Прошу помощи.

Еще раз, в приложении: лог autologger и архив (пароль 123), в котором лог drweb cureit, зашифрованный фал и файл оригинал, а также текстовый файл, который появился в каждой папке где зашифровались файлы.

 

Заранее спасибо

CollectionLog-2017.06.20-11.42.zip

Archive.rar

Изменено 20 июня, 2017 пользователем andy1983

[regist 617]

Это похоже только маскировать, под Wanna Cry, а на самом деле другой шифровальщик и с расшифровкой наверно сможем помочь.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[andy1983 0]

Это похоже только маскировать, под Wanna Cry, а на самом деле другой шифровальщик и с расшифровкой наверно сможем помочь.

Спасибо за быструю реакцию, мне тоже показалось, что это вряд ли "сам" wannacry, но мне не дает покоя вопрос - откуда он взялся? ) И где он сейчас? )

Это похоже только маскировать, под Wanna Cry, а на самом деле другой шифровальщик и с расшифровкой наверно сможем помочь.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 Готово!

Shortcut.txt

FRST.txt

Addition.txt

[Sandor 1 252]

@andy1983, на SafeZone тему закрываем?

[andy1983 0]

@andy1983, на SafeZone тему закрываем?

Вы одни и те же люди? ) Как надо сделать, так давайте и сделаем. Как там закрыть - указать, что тема перенесена в этот тред?

[regist 617]

 

 

Вы одни и те же люди?

Да.

 

 

Как надо сделать, так давайте и сделаем.

Лечать на разных ресурсах вы можете навредить себе принимая несовместимые лекарства.

 

 

GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION

Сами настраивали?

 

И это таки советую деинсталировать

 

Unity Web Player
 Служба автоматического обновления программ

 

 

Как там закрыть - указать, что тема перенесена в этот тред?

закрыл.

[andy1983 0]

Спасибо. Просто мне и на том ресурсе помню помогли, поэтому уже начал стучаться во все двери )

Политики я не настраивал, во всяком случае не помню, изначально не должен был.

Софт, который советовали деинсталлировать - деинсталлировал.

Жду дальнейших указаний.

[regist 617]

CHR Extension: (Перекуп клуб) - C:\Users\Пестерев Д А\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjpbbodhmcnmknjdnalpgbljklikfnfn [2017-06-09]
OPR Extension: (Советник Яндекс.Маркета) - C:\Users\Пестерев Д А\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmdhajlcfmlocjeihknhbbekjaageelh [2017-04-05]

В Хроме и в Опере соотственно эти расширения вам знакомы? Если нет, то удалите.

 

• Отключите до перезагрузки антивирус.

• Выделите следующий код:

   

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  GroupPolicyScripts: Restriction <======= ATTENTION
  2017-06-20 02:42 - 2017-06-20 02:42 - 00006959 _____ C:\Users\Пестерев Д А\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:42 - 2017-06-20 02:42 - 00006959 _____ C:\Users\Пестерев Д А\Documents\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:42 - 2017-06-20 02:42 - 00006959 _____ C:\Users\Пестерев Д А\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:42 - 2017-06-20 02:42 - 00006959 _____ C:\Users\Гость\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Все пользователи\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Администратор\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Public\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Default\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\Users\Default.migrated\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:41 - 2017-06-20 02:41 - 00006959 _____ C:\ProgramData\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:38 - 2017-06-20 02:38 - 00006959 _____ C:\Users\Temp\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
  2017-06-20 02:38 - 2017-06-20 02:38 - 00006959 _____ C:\Users\Temp\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
  2015-12-04 15:37 - 2015-12-04 15:37 - 0000017 _____ () C:\Users\Пестерев Д А\AppData\Local\resmon.resmoncfg
  2015-12-17 10:53 - 2015-12-17 11:21 - 0000400 _____ () C:\ProgramData\hpzinstall.log.wncry
  2017-06-20 02:41 - 2017-06-20 02:41 - 0006959 _____ () C:\ProgramData\Инструкция по расшифровке файлов WannaCry.TXT
  2017-01-19 02:07 - 2017-04-14 20:21 - 4127960 _____ (Mail.Ru) C:\Users\Пестерев Д А\AppData\Local\Temp\mrutmp.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).

• Запустите FRST (FRST64) от имени администратора.

• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

 

[andy1983 0]

Все сделал, только что-то запарился, как то непонятно было отработала программа или нет и поэтому запускал несколько раз.

Последний лог выглядит вот так, как будто он уже ничего не нашел, и правда, посмотрел - а там, куда пути ссылаются уже ничего нет. Причем первый раз программа выполнялась очень долго, а второй раз быстро.

а, да и расширения из браузеров удалил.

Fixlog.txt

Изменено 20 июня, 2017 пользователем andy1983

[regist 617]

Рекомендация написана для пользователя andy1983.
 
Скачайте этот архив, распакуйте и запустите утилиту оттуда. Выберите путь к зашифрованным файлам и нажмите Decrypt. По умолчанию там выбран диск С:\.

+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[andy1983 0]

Парни, спасибо огромное, декриптор работает, вы кудесники! ) Сейчас компьютер выключил, AVZ уже завтра проверю на уязвимости ну и будем потихоньку восстанавливать. А так наверное тему можно закрывать. Еще раз спасибо! )

[Александр Корешков 0]

Парни, спасибо огромное, декриптор работает, вы кудесники! ) Сейчас компьютер выключил, AVZ уже завтра проверю на уязвимости ну и будем потихоньку восстанавливать. А так наверное тему можно закрывать. Еще раз спасибо! )

Генерирую свой ключ в соседней теме) надеюсь тоже поможет. Больше интересен способ проникновения. SMB ? У нас комьютер стоял включенным вообще неделю и в субботу заработал этот процесс .

[andy1983 0]

 

Парни, спасибо огромное, декриптор работает, вы кудесники! ) Сейчас компьютер выключил, AVZ уже завтра проверю на уязвимости ну и будем потихоньку восстанавливать. А так наверное тему можно закрывать. Еще раз спасибо! )

Генерирую свой ключ в соседней теме) надеюсь тоже поможет. Больше интересен способ проникновения. SMB ? У нас комьютер стоял включенным вообще неделю и в субботу заработал этот процесс .

 

На том компе есть учетка temp, которую завел сам пользователь, причем дал ей права админа (у него тоже права админа, я ему доверял )) и видимо поставил какой то простой пароль. А комп смотрит RDP наружу (у нас белый ip и NAT, понятное дело я не прямой 3389 кидаю в сеть, но просканить то недолго). И по логам сегодня ближе к вечеру уже увидел что на эту учетку ночью кто -то пытался-пытался и наконец залогинился. Там же на рабочем столе нашел два архива по типу sssss.zip, Они оба тоже зашифрованы, но что-то мне подсказывает, что запуск происходил именно их этих архивов, могу их выложить сюда, если специалистам интересно будет. То есть в моем случае видимо отсканили порт, взломали пароль и запустили руками шифровальщик.

Изменено 20 июня, 2017 пользователем andy1983

[Александр Корешков 0]

 

 

Парни, спасибо огромное, декриптор работает, вы кудесники! ) Сейчас компьютер выключил, AVZ уже завтра проверю на уязвимости ну и будем потихоньку восстанавливать. А так наверное тему можно закрывать. Еще раз спасибо! )

Генерирую свой ключ в соседней теме) надеюсь тоже поможет. Больше интересен способ проникновения. SMB ? У нас комьютер стоял включенным вообще неделю и в субботу заработал этот процесс .

 

На том компе есть учетка temp, которую завел сам пользователь, причем дал ей права админа (у него тоже права админа, я ему доверял )) и видимо поставил какой то простой пароль. А комп смотрит RDP наружу (у нас белый ip и NAT, понятное дело я не прямой 3389 кидаю в сеть, но просканить то недолго). И по логам сегодня ближе к вечеру уже увидел что на эту учетку ночью кто -то пытался-пытался и наконец залогинился. Там же на рабочем столе нашел два архива по типу sssss.zip, Они оба тоже зашифрованы, но что-то мне подсказывает, что запуск происходил именно их этих архивов, могу их выложить сюда, если специалистам интересно будет. То есть в моем случае видимо отсканили порт, взломали пароль и запустили руками шифровальщик.

 

У меня вчера было подозрения на RDP, так как к этому компу есть белый IP

[regist 617]

@Александр Корешков, это раздел для лечения и тут есть свои правила, которые запрещают "влазить" в чужие темы. Для "поболтать" есть другой раздел.