Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

WnCry на сервере

mcko
 Поделиться

Рекомендуемые сообщения

mcko

mcko

Опубликовано
Опубликовано

Заразился старый файловый сервер и через смонтированные сетевые диски заразился соседний файловый сервер. Предположительно из под администраторской учетной записи. Прикладываю лог и образцы зашифрованных данных с предполагаемого источника заражения.

Посодействуйте, пожалуйста, в расшифровке и удалении угрозы.

Files.zip

CollectionLog-2017.11.28-10.06.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\hhsm\svhosts.exe');
 StopService('AdobeFlashPlayerHash');
 QuarantineFile('C:\Users\rykov\AppData\Roaming\guide.exe', '');
 QuarantineFile('C:\Users\rykov\Как расшифровать данные.TXT', '');
 QuarantineFile('c:\windows\hhsm\svhosts.exe', '');
 DeleteFile('C:\Users\rykov\AppData\Roaming\guide.exe', '32');
 DeleteFile('C:\Users\rykov\Как расшифровать данные.TXT', '32');
 DeleteFile('c:\windows\hhsm\svhosts.exe', '32');
 DeleteService('AdobeFlashPlayerHash');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '{083B6F1B-0E70-B2F8-6920-02F7A10E7046}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', '{083B6F1B-0E70-B2F8-6920-02F7A10E7046}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(20);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Поищите пару - зашифрованный и его не зашифрованный оригинал (ищите такой в резервных копиях, на других ПК, в почте и т.п.)

Упакуйте в архив и тоже прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Полученный ответ сообщите здесь (с указанием номера KLAN)

И желательно с пояснениями по файлам.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

(В предыдущем сообщении я поторопился, виноват :))

mcko

mcko

Опубликовано
  • Автор
Опубликовано

Итак FRST отработал, результаты прилагаю в одноименном архиве.

Вот что пришло с newvirus@kaspersky.com:

 

"[KLAN-7234075495]

В антивирусных базах информация по присланным вами файлам отсутствует:
Как расшифровать данные.TXT

В следующих файлах обнаружен вредоносный код:
svhosts.exe - HEUR:Trojan.Win32.Blouiroet.gen

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."


Не совсем понял, какие пояснения по файлам требуются.

Sandor

Sandor

Опубликовано
Опубликовано

Вы их уже процитировали, спасибо.

 

Теперь жду

отчеты FRST.txt, Addition.txt, Shortcut.txt

mcko

mcko

Опубликовано
  • Автор
Опубликовано (изменено)

Вы их уже процитировали, спасибо.

 

Теперь жду

отчеты FRST.txt, Addition.txt, Shortcut.txt

Мне казалось я прикладывал их в архиве FRST.zip

Изменено пользователем mcko
Sandor

Sandor

Опубликовано
Опубликовано

Возможно не нажали кнопку "Загрузить"

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2017-11-27 15:32 - 2017-11-28 11:32 - 000000000 ____D C:\Program Files\Reimage
2017-11-27 15:30 - 2017-11-27 11:31 - 000605424 _____ (Reimage) C:\ReimageRepair.exe
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Администратор\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Администратор\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\userdata\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\userdata\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\rykov\Downloads\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Public\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko.MCKO\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko.MCKO\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mamaev\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mamaev\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc.S-PS\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc.S-PS\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-EF6B276D476A83\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-EF6B276D476A83\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-D1972BC75CC16C\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-D1972BC75CC16C\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\kav\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\kav\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default User\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Classic .NET AppPool\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Classic .NET AppPool\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\chenin\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\chenin\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Downloads\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Desktop\Как расшифровать данные.TXT
2017-11-27 06:04 - 2017-11-27 06:04 - 000006238 _____ C:\Как расшифровать данные.TXT
2017-11-27 06:03 - 2017-11-28 11:22 - 000000000 ____D C:\Windows\HhSm
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

mcko

mcko

Опубликовано
  • Автор
Опубликовано

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2017-11-27 15:32 - 2017-11-28 11:32 - 000000000 ____D C:\Program Files\Reimage
2017-11-27 15:30 - 2017-11-27 11:31 - 000605424 _____ (Reimage) C:\ReimageRepair.exe
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Администратор\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Администратор\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\userdata\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\userdata\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\rykov\Downloads\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Public\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko.MCKO\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mcko.MCKO\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mamaev\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\mamaev\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc.S-PS\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KlScSvc.S-PS\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-EF6B276D476A83\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-EF6B276D476A83\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-D1972BC75CC16C\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\KL-AK-D1972BC75CC16C\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\kav\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\kav\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Default User\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Classic .NET AppPool\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Classic .NET AppPool\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\chenin\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\chenin\Desktop\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Downloads\Как расшифровать данные.TXT
2017-11-27 06:05 - 2017-11-27 06:05 - 000006238 _____ C:\Users\Administrator\Desktop\Как расшифровать данные.TXT
2017-11-27 06:04 - 2017-11-27 06:04 - 000006238 _____ C:\Как расшифровать данные.TXT
2017-11-27 06:03 - 2017-11-28 11:22 - 000000000 ____D C:\Windows\HhSm
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

Код выполнять в AVZ?

Sandor

Sandor

Опубликовано
Опубликовано

Нет:

Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • VitMai
      Зашифрованные файлы wanna_cry с 12.05.2017
      Автор VitMai
      Добрый день были зашифрованы файлы вирусом в мае.
       
      Операционная система вроде переустанавливалась.
      Зараженные файлы так и лежат на компьютере.

      Помогите пожалуйста, ждал надеялся что появится дешифратор или какая-то таблетка.

      в архиве 2 файла:
      @Please_Read_Me@.txt
      Стас_SNG.txt.WNCRY
       
       
    • Timiryaev
      Зашифровались файлы .wncry
      Автор Timiryaev
      Добрый день, зашифровались файлы, есть 2 расшифрованных файла прикрепляю их и зашифрованные тоже а так же файл с требованиями, ответ приходит с почты bm-2cxbpmcypqxrsdhhocn9se8ycqmvktvfr3@bitmessage.ch, помогите расшифровать остальные
      Зашифрованные.zip
      Расшифрованные.zip
      Как расшифровать данные.TXT
    • fabbeg
      wncry
      Автор fabbeg
      добрый день!
      шифровальщик съел файлы!
      есть вся информация, указанная в теме.
      прикрепляю.
       
      остальное ссылки на яндекс диск так как невозможно прикрепить gif файл.
      ссылка https://yadi.sk/d/45G1xXYo3Q5hPj
      Как расшифровать данные.TXT
    • Анастасия Ров.
      Поймала Wanna Cry
      Автор Анастасия Ров.
      Здравствуйте, поймала Wanna Cry, Касперский его не видит, как и другие антивирусы. Стоит выйти из браузера как он тут же обновляется, звук прыгает сам по себе, (хотя возможно это из-за драйверов, точно не знаю). И вообще весь компьютер по мелочам сходит с ума, подскажите, что делать?
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы
    • pavel7129
      Шифровальщик Wanna Cry
      Автор pavel7129
      Здравствуйте! Wanna Cry зашифровал базу данных 1с есть ли возможность восстановить? Если да то какие действия дальше.
×
×
  • Создать...