Trojan-Ransome.win32.Agent

[darkelf1986]

Добрый день. На ПК поймали из письма Trojan-Ransome.win32.Agent.
http://i96.fastpic.ru/big/2017/0714/47/df4fcce40244f017954f67debcae0547.png

На данный момент сканировал с помощью KVRT. Есть ли смысл лечить ей или лучше AVZ? 
Про восстановление с помощью RakhniDecryptor знаю, но сталкиваюсь впервые. Помогите разобраться.

Заранее спасибо.

CollectionLog-2017.07.14-16.40.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\Stat_2\appdata\local\temp\a86b5c6747183b1c9bbb4181c53f302d.dll','');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 QuarantineFile('c:\programdata\services\csrss.exe','');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('c:\programdata\services\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager');
 DeleteFile('C:\Users\Stat_2\appdata\local\temp\a86b5c6747183b1c9bbb4181c53f302d.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[darkelf1986]

Проблему решаю по удаленке, скрипт вроде отработал, после перезагрузки запустил скрипт на создание карантина, пустой архив на выходе...

Лог Autologger приложил. В Temp все почистил, раньше не было прав.

CollectionLog-2017.07.14-19.35.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[darkelf1986]

Отчеты FRST.

Файлы зашифрованы с расширением .crypted000007

Видимо придется ожидать шифровальщик.

FRST.zip

Изменено 14 июля, 2017 пользователем darkelf1986

[thyrex]

Расшифровки без поимки злоумышленников не предвидится.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
2017-07-14 13:20 - 2017-07-14 18:50 - 00000000 __SHD C:\Users\Все пользователи\services
2017-07-14 13:20 - 2017-07-14 18:50 - 00000000 __SHD C:\ProgramData\services
2017-07-14 13:20 - 2017-07-14 13:20 - 03148854 _____ C:\Users\Stat_2\AppData\Roaming\C9D88988C9D88988.bmp
2017-07-14 12:40 - 2017-07-14 18:50 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-07-14 12:40 - 2017-07-14 18:50 - 00000000 __SHD C:\ProgramData\Windows
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[darkelf1986]

Fixlog прикрепил

Fixlog.txt

[thyrex]

Мусор почистили. Больше помочь нечем.

[darkelf1986]

thyrex - большое спасибо!

Значит ждем дешифратора. А можно как-то отправить зашифрованные образцы? Или в лаборатории уже в курсе и дешифратор в разработке?

[thyrex]

Написано ведь

Расшифровки без поимки злоумышленников не предвидится.