Шифровальщик .FairyTail

[sayan]

Добрый день.

В почту пришло письмо с приложением  .exe. Сотрудница открыла и вирус зашифровал ее комп и сетевые папки с которыми она работала потом еще  в течении дня. В том числе часть файлов на файловом сервере.

 

проверили Kasperskiy Endpoint Security 10.3.0.6294 AES256 (mr1) - все чисто

 

 

Дешефратор xoristdecryptor не помог.

 

Логи с зараженной машины прилагаю.

 

Самого зловреда могу выслать для анализа если потребуется.

 

 

Выяснил что вирус  называется Trojan-Ransom.Win32.Cryakl.aqi. На одной машине его распознал почтовый антивирус Касперского. Судя по всему зараженные машины либо не были обновлены, либо почтовик был  и вовсе отключен.

CollectionLog-2018.01.12-17.16.zip

Изменено 12 января, 2018 пользователем sayan

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\dne\AppData\Local\Temp\резюме.exe', '');
 DeleteFile('C:\Users\dne\AppData\Local\Temp\резюме.exe', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3623795333-3176613324-3650016711-1164\Software\Microsoft\Windows\CurrentVersion\Run', '1012555525');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[sayan]

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

[KLAN-7519943867]

 

 

Благодарю за оказанное содействие!

CollectionLog-2018.01.14-16.31.zip

Изменено 14 января, 2018 пользователем sayan

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[sayan]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

сделано, прикрепил...

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Все рекомендации по сбору логов и выполнению скриптов следует выполнять от имени администратора. Переделайте, пожалуйста.

 

Ran by dne (ATTENTION: The user is not administrator) on DMITRIEVA (15-01-2018 15:31:33)

[sayan]

Все рекомендации по сбору логов и выполнению скриптов следует выполнять от имени администратора. Переделайте, пожалуйста. 

 

Извиняюсь, поторопился. 

прикрепил.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicyScripts: Restriction <==== ATTENTION
  2016-08-09 16:00 - 2016-10-03 11:01 - 000612528 _____ () C:\Users\User\AppData\Local\Temp\917b0b87-3358-4e79-93de-3dfc2fc99ed0.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[sayan]

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicyScripts: Restriction <==== ATTENTION
  2016-08-09 16:00 - 2016-10-03 11:01 - 000612528 _____ () C:\Users\User\AppData\Local\Temp\917b0b87-3358-4e79-93de-3dfc2fc99ed0.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

 

Готово. 

Fixlog.txt

Изменено 15 января, 2018 пользователем sayan

[Sandor]

Создайте запрос на расшифровку.

[sayan]

Благодарю за помощь. Всего хорошего!)