.crypted000007 по почте

[ilon]

На почту пришло письмо с жалобой. Был скачан прикреплённый архив. При его открытии установилась программа. Сразу после этого компьютер был выключен пользователем. Письмо было удалено.

При повторном включении файлы оказались зашифрованы. Расширение .crypted000007

Прилагаю файл Readme с требованиями и адресами выплат и логи.

При проверке Kaspersky Virus Removal Tool Инфицированные файлы были помещены в карантин. Нужно ли и как их переслать?

README6.txt

CollectionLog-2017.09.29-21.34.zip

Изменено 29 сентября, 2017 пользователем ilon

[regist]

Здравствуйте!

 

с рассшифровкой помочь не сможем. А вот удалить шифровальщик, который у вас до сих пор активен поможем.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\all users\application data\csrss\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\drivers\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\PyZS1j.cmd', '');
 QuarantineFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 QuarantineFileF('c:\documents and settings\all users\application data\csrss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\documents and settings\all users\application data\drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\documents and settings\all users\application data\windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\PyZS1j.cmd', '32');
 DeleteFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 DeleteFileMask('c:\documents and settings\all users\application data\csrss\', '*', true);
 DeleteFileMask('c:\documents and settings\all users\application data\drivers\', '*', true);
 DeleteFileMask('c:\documents and settings\all users\application data\windows\', '*', true);
 DeleteDirectory('c:\documents and settings\all users\application data\csrss\');
 DeleteDirectory('c:\documents and settings\all users\application data\drivers\');
 DeleteDirectory('c:\documents and settings\all users\application data\windows\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetworkSubsystem');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте лог этой утилитой.
 

[ilon]

KLAN-6898202781

В антивирусных базах информация по присланным вами файлам отсутствует:
PyZS1j.cmd

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan.Win32.Agent.nevnwq
csrss_0.exe - Trojan.Win32.Agent.nezeod
csrss_1.exe - Trojan-Ransom.Win32.Shade.oas

HiJackThis.log

HiJackThis_debug.log

[regist]

IPSEC политики сами прописывали?

А также расположение папки %TEMP% сознательно поменяли?

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[ilon]

На вопросы ответить не могу, ранее этим компьютером не пользовался.

FRST.txt

Addition.txt

Shortcut.txt

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\Run: [VPetsPlayer] => C:\Program Files\VPets\VPets.exe********    *******************************************************************    ******и?°*Г*PВ*******************5***** G°*hб—
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {0a028488-8546-11dd-a22f-00140b04bcc5} - E:\Launcher.exe
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {100adc32-8540-11dd-a22e-00140b04bcc5} - E:\Launcher.exe
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {1217d338-857f-11dd-a235-00140b04bcc5} - E:\Launcher.exe
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {1b35006a-8616-11dd-a236-00140b04bcc5} - E:\Launcher.exe
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {49939572-8548-11dd-a230-00140b04bcc5} - E:\Launcher.exe
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {8e5c66f4-8479-11dd-a22d-00140b04bcc5} - F:\Launcher.exe
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {b5e37edb-6834-11dd-a1f7-00c0a8ca6547} - E:\Launcher.exe
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\...\MountPoints2: {e26b2cdc-685c-11dd-a1f8-00c0a8ca6547} - E:\Launcher.exe
  HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
  HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk
  HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
  HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk
  HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
  HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
  HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk
  HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk
  HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
  HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
  HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk
  HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk
  HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
  HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
  HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk
  HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mail.ru/cnt/7227
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
  HKU\S-1-5-21-1778182981-3017946848-2798597818-1006\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk
  URLSearchHook: [S-1-5-21-1778182981-3017946848-2798597818-1006] ATTENTION => Default URLSearchHook is missing
  Toolbar: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} -  No File
  Toolbar: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006 -> No Name - {C4069E3A-68F1-403E-B40E-20066696354B} -  No File
  Toolbar: HKU\S-1-5-21-1778182981-3017946848-2798597818-1006 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/"
  2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README9.txt
  2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README8.txt
  2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README7.txt
  2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README6.txt
  2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README5.txt
  2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README4.txt
  2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README3.txt
  2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README2.txt
  2017-09-28 12:34 - 2017-09-28 12:34 - 000004178 _____ C:\README10.txt
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[ilon]

Скрипт выполнил.

Fixlog.txt

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.