Шифровальшик Trojan-Ransom.Win32.Agent

[рсн]

Поймали на сервер шифровальщик. в техподдержке определили как Trojan-Ransom.Win32.Agent.

Помогите удалить записи с ним ( сервер отключили от сети), тк надо переустанавливать программы.

шифровальшик с требованием выплатить для расшифровки бит-коин в размере 0,4 на адрес

frenkmoddy@tuta.io. На сервере и локалках стоит лицензионный Касперский

файлы имеют расширение rapid. зашифровало как документы там и другие типы файлов.

Прогнал FRST сканирование. 

 

FRST.txt

Addition.txt

[Sandor]

Здравствуйте!

 

Начните со стандартных логов по правилам:

Порядок оформления запроса о помощи

[рсн]

KVRT прогнал-чисто.

логи прилагаю

CollectionLog-2018.02.05-10.39.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

Смените пароль на RDP.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[рсн]

скрипт выполнил, логи выкладываю, пароль поменял

CollectionLog-2018.02.06-11.05.zip

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  IFEO\Utilman.exe: [Debugger] cmd.exe
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\Public\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\Public\Downloads\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\Public\Documents\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\Public\Desktop\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\KlScSvc\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\KlScSvc\Documents\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\KL-AK-5CCF2EAEF1A144\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\KL-AK-5CCF2EAEF1A144\Documents\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\KL-AK-5CCF2EAEF1A144\AppData\Local\Temp\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\KL-AK-0\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\KL-AK-0\Documents\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\Default\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\Default\Documents\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\Default User\Documents\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\baurinaayu\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\baurinaayu\Downloads\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\baurinaayu\Documents\How Recovery Files.txt
  2018-01-23 22:48 - 2018-01-23 22:48 - 000000112 _____ C:\Users\baurinaayu\Desktop\How Recovery Files.txt
  2018-01-23 22:47 - 2018-01-23 22:47 - 000000112 _____ C:\Users\sbis\Documents\How Recovery Files.txt
  2018-01-23 22:47 - 2018-01-23 22:47 - 000000112 _____ C:\Users\sbis\Desktop\How Recovery Files.txt
  2018-01-23 22:47 - 2018-01-23 22:47 - 000000112 _____ C:\Users\sbis\AppData\Local\Temp\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:47 - 000000112 _____ C:\Users\Администратор\Downloads\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:47 - 000000112 _____ C:\Users\Администратор\AppData\Local\Temp\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:47 - 000000112 _____ C:\Users\tadmin\Downloads\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\Администратор\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\Администратор\Documents\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\Администратор\Desktop\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\Администратор.DOMAIN\Desktop\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\Администратор.DOMAIN\AppData\Local\Temp\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\tadmin\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\tadmin\Documents\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\tadmin\Desktop\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\tadmin\AppData\Roaming\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\sbis\How Recovery Files.txt
  2018-01-23 22:46 - 2018-01-23 22:46 - 000000112 _____ C:\Users\sbis\Downloads\How Recovery Files.txt
  2018-01-23 22:45 - 2018-01-23 22:45 - 000000112 _____ C:\Users\Администратор.DOMAIN\How Recovery Files.txt
  2018-01-23 22:45 - 2018-01-23 22:45 - 000000112 _____ C:\Users\Администратор.DOMAIN\Downloads\How Recovery Files.txt
  2018-01-23 22:45 - 2018-01-23 22:45 - 000000112 _____ C:\Users\Администратор.DOMAIN\Documents\How Recovery Files.txt
  2018-01-23 22:42 - 2018-01-23 22:44 - 000000112 _____ C:\Program Files\How Recovery Files.txt
  2018-01-23 22:42 - 2018-01-23 22:44 - 000000112 _____ C:\Program Files (x86)\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\сбис\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\сбис\Downloads\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\сбис\Documents\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\сбис\Desktop\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\консультант\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\консультант\Downloads\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\консультант\Documents\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\консультант\Desktop\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\консультант\AppData\Local\Temp\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к3\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к3\Downloads\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к3\Documents\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к3\Desktop\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к2\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к2\Downloads\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к2\Documents\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к2\Desktop\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к1\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к1\Downloads\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к1\Documents\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к1\Desktop\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\к1\AppData\Local\Temp\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\Все пользователи\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\Users\tadmin\AppData\Roaming\recovery.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\ProgramData\How Recovery Files.txt
  2018-01-23 22:34 - 2018-01-23 22:34 - 000000112 _____ C:\How Recovery Files.txt
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

[рсн]

скопировал, сохранил как надо, запустил.. лог выкладываю

Fixlog.txt

[Sandor]

Еще один контрольный CollectionLog сделайте, пожалуйста.

[рсн]

лог

упс

CollectionLog-2018.02.06-12.26.zip

[Sandor]

"Пофиксите" в HijackThis:

O26 - IFEO: HKLM\..\Utilman.exe: [Debugger] = C:\Windows\system32\cmd.exe

Перезагрузите систему и соберите еще один CollectionLog.

[рсн]

прикрепил

CollectionLog-2018.02.06-13.10.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\msapss\bin\msapp.exe');
 StopService('WinMediaService');
 QuarantineFile('c:\windows\msapss\bin\msapp.exe', '');
 DeleteFile('c:\windows\msapss\bin\msapp.exe', '32');
 DeleteService('WinMediaService');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите еще раз логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[рсн]

перегрузил, файл отправил.

[KLAN-7609269540]

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
msapp.exe
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

свежие логи

CollectionLog-2018.02.06-14.11.zip

[Sandor]

Виноват, сразу пропустил. Теперь дыра закрыта.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Создайте запрос на расшифровку.

[рсн]

спасибо..все сделал. последний вопрос.

имеющиеся файлы с расширением .rapid  (шифрованные) просто тупо удалять теперь?? сам сервер работает, а вот проги теперь переставлять..ээх.