*.hvsgt шифровальщик

[defaultuser2018]

Здравствуйте! Поймал вирус, отчеты Farbar Recovery Scan Tool во вложении, зашифровал в т.ч бэкапы

Пожалуйста, помогите с расшифровкой

Addition.txt

FRST.txt

[Sandor]

Здравствуйте!

 

Начните с логов по правилам: Порядок оформления запроса о помощи

[defaultuser2018]

Прикрепляю логи Автологгера, в поисках пары зашифрованный/незашифрованный файл

CollectionLog-2017.10.09-11.11.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\abakhmanova\desktop\csrs.exe');
 TerminateProcessByName('c:\users\admin\desktop\svchоst.exe');
 TerminateProcessByName('C:\Windows\System32\svchоst.exe');
 QuarantineFile('C:\Users\ABakhmanova\AppData\Roaming\csrs.exe', '');
 QuarantineFile('C:\Users\ABakhmanova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winhost.url', '');
 QuarantineFile('c:\users\abakhmanova\desktop\csrs.exe', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\svchоst.exe', '');
 QuarantineFile('c:\users\admin\desktop\svchоst.exe', '');
 QuarantineFile('C:\Windows\System32\svchоst.exe', '');
 DeleteFile('C:\Users\ABakhmanova\AppData\Roaming\csrs.exe', '32');
 DeleteFile('C:\Users\ABakhmanova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winhost.url');
 DeleteFile('c:\users\abakhmanova\desktop\csrs.exe', '32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\svchоst.exe', '32');
 DeleteFile('c:\users\admin\desktop\svchоst.exe', '32');
 DeleteFile('C:\Windows\System32\svchоst.exe', '32');
 DeleteFile('hvsgt шифровальщик'); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Windows Servicing" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2643028297-3429872493-2339584265-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'CertificatesCheck');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2643028297-3429872493-2339584265-1001\Software\Microsoft\Windows\CurrentVersion\Run', 'Winhost');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[defaultuser2018]

[KLAN-6949603092]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
csrs.exe - Trojan-Dropper.Win32.Injector.tanf
svchоst.exe - Trojan-Ransom.Win32.Purgen.mm
svchоst_0.exe - Trojan-Ransom.Win32.Purgen.mm

В антивирусных базах информация по присланным вами файлам отсутствует:
Winhost.url

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
svchоst_1.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.iadd

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

[Sandor]

Продолжайте, ждем новый CollectionLog.

[defaultuser2018]

Прикладываю новый лог автологгера

Нашел пару зашифрованный\незашифрованный, прикладываю

CollectionLog-2017.10.09-12.57.zip

пара-зашифр-незашифр.zip

Изменено 9 октября, 2017 пользователем defaultuser2018

[Sandor]

Не спешите.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Соберите свежие логи FRST.

[defaultuser2018]

прошу простить за некоторую сумбурность

 

Прикладываю новые логи FRST

FRST.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2017-10-07 19:58 - 2017-10-07 19:58 - 000006517 _____ C:\Users\YViansianen\Как расшифровать файлы.TXT
  2017-10-07 19:58 - 2017-10-07 19:58 - 000006517 _____ C:\Users\YPivovarova\Как расшифровать файлы.TXT
  2017-10-07 19:58 - 2017-10-07 19:58 - 000006517 _____ C:\Users\MEvgenyeva\Как расшифровать файлы.TXT
  2017-10-07 19:58 - 2017-10-07 19:58 - 000006517 _____ C:\Users\DMinikhanova\Как расшифровать файлы.TXT
  2017-10-07 19:58 - 2017-10-07 19:58 - 000006517 _____ C:\Users\DefaultAppPool\Как расшифровать файлы.TXT
  2017-10-07 19:57 - 2017-10-07 19:57 - 000006517 _____ C:\Users\Adm\Как расшифровать файлы.TXT
  2017-10-06 11:03 - 2017-01-26 22:05 - 001466213 _____ C:\Windows\system32\svchоst.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[defaultuser2018]

Прикладываю fixlog.txt

Fixlog.txt

[Sandor]

Проверьте личные сообщения.

[defaultuser2018]

Спасибо!

На другом диске файлы с расширением .zuzya, их восстановление по описанной вами схеме не работает, прикладываю зашифрованный\не зашифрованный файл и жду дальнейших инструкций

zuzya_coded_uncoded.zip

[Sandor]

Увы, это GlobeImposter 2.0 и для него нет инструментов.

 

Смените пароль к RDP на сложный.

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[defaultuser2018]

Спасибо огромное! В процессе! Пока вообще закрыл рдп порт на роутере от греха подальше.

Скажите, а какова вероятность что вирус все еще присутствует на этом конкретном компе?