Шифровальщик deryptme

[Bogdan_Sharkov]

Вчера поймали вирус, один компьютер полностью в зашифрованных файлах (логи с него). Вирус так же перекинулся на сервер и там частично зашифровал файлы. Как можно найти вирус что бы он хотя бы перестал зашифровывать файлы.

CollectionLog-2017.11.28-14.07.zip

[Sandor]

Здравствуйте!

 

Архив логов не полный. Переделайте, пожалуйста.

[Bogdan_Sharkov]

Переделал.

CollectionLog-2017.11.28-15.52.zip

[Sandor]

Этот тоже не полный.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

[regist]

+ дополню, чтобы избежать дальнейшего шифрования файлов пока выполняйте скрипты и логи собирайте из безопасного режима.

В обычный режим пока не загружайтесь.

Изменено 28 ноября, 2017 пользователем regist

[Bogdan_Sharkov]

Выполнил.

 

Может я какие-то настройки не прожимаю в AutoLogger? Есть ли где инструкция для использования этой программы?

Report.7z

[regist]

@Bogdan_Sharkov, а все попытки собрать логи выполнялись из одной и той же папки, с корня диска C:\ ?

 

 

Может я какие-то настройки не прожимаю в AutoLogger?

нет, дело не в этом. Судя по отчёту AVZ по какой-то причине вылетел в самом начале. Возможно вирус его вынес.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\user\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\27 11.scr', '');
 DeleteFile('C:\Users\user\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\27 11.scr', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'BrowserUpdateCheck');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.
 

[Bogdan_Sharkov]

 

а все попытки собрать логи выполнялись из одной и той же папки, с корня диска C:\ ?

Да, все попытки были из одного места.

[regist]

 

 

Да, все попытки были из одного места.

тогда похоже моё предположение верно. Шифровальщик ещё активен и шифрует и репорты работы Автологера и остальное.

 

+ вопрос, программы/расширения от Mail.ru используете?
 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[Bogdan_Sharkov]

Письмо отправлено.

Когда первые два раза пытался сделать лог через AutoLogger, то через 5 минут сам .exe и папка которая создавалась была зашифрована, но сейчас он перестал шифровать новые файлы, которые появляются на компьютере.

AdwCleanerS1.txt

[regist]

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

не сделали.

 

 

программы/расширения от Mail.ru используете?

не ответили.

 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

также не написали.

[Bogdan_Sharkov]

не сделали.

Сейчас выполняется как выполнится кину.

не ответили.

Точно сказать не могу, человек уже ушёл домой. Скорее не использовали, т.к. компьютер рабочий.

также не написали.

 Возникла проблема с отправкой письма, им приходит пустой письмо. Ищу варианты решения.

 

Ещё такой вопрос. У нас заражено было два компьютера, не могли бы вы посмотреть,пожалуйста, логи со второго.

CollectionLog-2017.11.28-18.46.zip

[regist]

 

 

Возникла проблема с отправкой письма, им приходит пустой письмо. Ищу варианты решения.

на всякий случай посмотрите размер архива сколько? Либо просто посмотрите, внутри архива файлы есть? Ещё можно попробовать через https://virusdesk.kaspersky.ru/ отправить, нажав, что вы не согласны с вердиктом.

 

 

Ещё такой вопрос. У нас заражено было два компьютера, не могли бы вы посмотреть,пожалуйста, логи со второго.

Для второго компьютера создайте отдельную тему. Если будем все делать в одной то будет каша из логов и скриптов, где не понятно что для/от какого компа.

[Bogdan_Sharkov]

Для второго компьютера создайте отдельную тему. Если будем все делать в одной то будет каша из логов и скриптов, где не понятно что для/от какого компа.

Создал, если что вот она. https://forum.kasperskyclub.ru/index.php?showtopic=57788&do=findComment&comment=853225

на всякий случай посмотрите размер архива сколько? Либо просто посмотрите, внутри архива файлы есть? Ещё можно попробовать через https://virusdesk.kaspersky.ru/ отправить, нажав, что вы не согласны с вердиктом.

Весит 1.33 кб, там есть файлы 5 штук. Отправил через https://virusdesk.kaspersky.ru/

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Повторил.

CollectionLog-2017.11.28-20.07.zip

[Sandor]

Здесь тоже дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Текстовый файл (или html) с требованием выкупа и пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.