.ransom

[SAS12]

  Добрый день.

На Windows Server 2012 R2 подцепили шифровальщик.

Все файлы получили расширение .ransom

Доступными средствами расшифровать не получилось.

Прошу ознакомиться с приложенными файлами, может кто даст совет по расшифровке.

1. Лог CollectionLog.

2. Public.zip - Файлы из C:\Users\Public

3. Para.zip - два файла. До вируса и после. Может быть поможет в расшифровке.

CollectionLog-2017.11.15-15.16.zip

Para.zip

Public.zip

[regist]

Файлы в папке C:\WARE32\SBU\ вам знакомы?

[SAS12]

Минуту

Да, 100% наши файлы. По ним все нормально.

[regist]

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

"Пофиксите" в HijackThis:

O4-32 - HKLM\..\Run: [Message-2017] C:\Users\Public\README_TO_DECRYPT_FILES.html

 

+ запустите эту утилиту.

[SAS12]

1. Файл успешно загружен

 

MD5 карантина: 68D0DA28C68BE5C1F37DBEF7397BF6AA

Размер файла: 120764629 байт

 

2. Сделано

 

3. Консоль зависает на различных файлах при проверке, но при нажатии ctrl+c выдает сообщение, что все файлы проверены.

    Запускал три раза и все три на разных файлах зависала консоль(

 

1. Файл успешно загружен

 

MD5 карантина: 68D0DA28C68BE5C1F37DBEF7397BF6AA

Размер файла: 120764629 байт

 

2. Сделано

 

3. Консоль зависает на различных файлах при проверке, но при нажатии ctrl+c выдает сообщение, что все файлы проверены.

    Запускал три раза и все три на разных файлах зависала консоль

Третий пункт выполнен, все файлы были успешно проверены на вирустотал.

[regist]

 

 

Запускал три раза и все три на разных файлах зависала консоль(

она не зависает, а ждёт ответа от сервера. Просто надо было подождать немного больше.

[SAS12]

Дождался, все файлы были успешно проверены на вирустотал.

[regist]

По логу плохого ничего не видно. По поводу рассшифровки при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Шанс что восстановят есть.

 

 

+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[SAS12]

Спасибо.

Скрипт сказал, что часто используемые уязвимости не обнаружены.

Однако, есть подозрения, что где то есть бэкдор. Например, если верить АВЗ (поиск открытых портов), то на 3127 висит процесс system.exe, который определяется там же как i-worm.MyDoom.

[regist]

 

 

который определяется там же как i-worm.MyDoom.

скорее всего не определяется. а подозревается. При этом это не больше чем подозрение. Но если хотите можно дополнительно ещё провериться.

 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[SAS12]

Готов лог.

SERVER2012_2017-11-15_23-44-07.7z

Изменено 15 ноября, 2017 пользователем SAS12

[regist]

C:\USERS\DIMA\DESKTOP\RANSOM.EXE

как понимаю вы удалили вручную? Тогда и

C:\USERS\DIMA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\RANSOM.LNK

удалите.

 

Проверьте эти файлы на virustotal

 

C:\USERS\АДМИНИСТРАТОР.APTEKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\WINHOST.EXE

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

 

+ вы фикс в HijackThis из поста №4 выполняли? Похоже не отработало.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
   
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
   
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.2
   v400c
   BREG
   ;---------command-block---------
   bl E9A0E3D4C7D5DC09E607D8FF17993ECA 1442
   zoo %SystemDrive%\USERS\PUBLIC\README_TO_DECRYPT_FILES.HTML
   delall %SystemDrive%\USERS\PUBLIC\README_TO_DECRYPT_FILES.HTML
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
   
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
   

 

 

[SAS12]

Мы вручную не удаляли.

 

Отчет по вирустотал: https://www.virustotal.com/#/file/85154bc62f23b664b3a4b3fb7a32cd26149f191da0de039e781d95fb47a25135/detection

 

Фикс выполняли.

 

Скрипт выполнен, компьютер перезагрузился.

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.2
   v400c
   BREG
   dirzooex %SystemDrive%\USERS\АДМИНИСТРАТОР.APTEKA\APPDATA\ROAMING\MICROSOFT\WINDOWS
   bl 3DB6820768386501654B6C53DFA8171A 635
   zoo %SystemDrive%\USERS\АДМИНИСТРАТОР.APTEKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\WINHOST.EXE
   delall %SystemDrive%\USERS\АДМИНИСТРАТОР.APTEKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\WINHOST.EXE
   bl 3DB6820768386501654B6C53DFA8171A 635
   zoo %SystemDrive%\USERS\DIMA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\RANSOM.LNK
   delall %SystemDrive%\USERS\DIMA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\RANSOM.LNK
   apply
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

сделайте свежий образ автозапуска.

[SAS12]

Полученный архив отправил на почту.