Вирус вымогатель на Windows Server 2008R2, файлы зашифрованы с расширением rapid

[dostupnaya-sreda]

Здравствуйте! 

Опишу как было дело.

 

Утром в 9:00 запустил рабочий комп и 1С, минут 5 работало всё хорошо, затем 1С перестала отвечать.

Попытался по RDP подключится к серверу выдало мол сервер не отвечает.

 

Подошёл к серверу, запустил под админом и вижу открытый блокнот с надписью 

 

Hello, dear friend!

All your files have been ENCRYPTED

Do you really want to restore your files?

Write to our email - lola2017@tuta.io

and tell us your unique ID - ID-KN13NFTO

 

Вырубил сетку, чтобы зараза дальше не пошла.

Убедился что все файлы на 3 жёстких дисках зашифрованы.

 

Нашёл Ваш форум и правила оформления заявки. Далее старался делать как указано в правилах, прогнал kvrt и cureit.

cureit ругнулся на Tool.HideFolders.4 Путь: С:\Windows\System32\Drivers\FSPFLtd2.sys

 

Далее запустил AutoLogger.exe и  Farbar Recovery Scan Tool

Их отчёты а так же примеры зашифрованных файлов  прикрепляю. Пароль на архив с заражёнными файлами 0000.

Shortcut.rar

[Sandor]

Здравствуйте!

 

Логи собраны в безопасном режиме. В обычном система не запускается?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\info.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\recovery.txt', '');
 QuarantineFile('C:\Windows\Fonts\ctfmon.vbs', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Encrypter" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "EncrypterSt" /F', 0, 15000, true);
 DeleteFile('C:\Users\Администратор\AppData\Roaming\info.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\recovery.txt', '32');
 DeleteFile('C:\Windows\Fonts\ctfmon.vbs');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Encrypter_074');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'userinfo');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Пробуйте в обычном (не в безопасном) режиме.

Прикрепите к следующему сообщению свежий CollectionLog.

[dostupnaya-sreda]

Здравствуйте!

 

Логи собраны в безопасном режиме. В обычном система не запускается?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\info.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\recovery.txt', '');
 QuarantineFile('C:\Windows\Fonts\ctfmon.vbs', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Encrypter" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "EncrypterSt" /F', 0, 15000, true);
 DeleteFile('C:\Users\Администратор\AppData\Roaming\info.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\recovery.txt', '32');
 DeleteFile('C:\Windows\Fonts\ctfmon.vbs');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Encrypter_074');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'userinfo');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Пробуйте в обычном (не в безопасном) режиме.

Прикрепите к следующему сообщению свежий CollectionLog.

 

В обычном режиме ранее сразу заражало флешку когда я пытался сделать отчёт. После прогона AVZ смог запустится в обычном режиме. Ниже текст письма и KLAN

 

No information about the specified files can be found in the antivirus databases:

ctfmon.vbs

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

KLAN-7641066154

 

Новые логи прикрепил

Addition.rar

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\server\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\server\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Public\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Public\Desktop\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\fortunamed\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\fortunamed\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default User\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\apt\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\apt\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m3\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m3\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m1\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m1\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\yoline\Desktop\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\server\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\server\Desktop\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\Public\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\Public\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\fortunamed\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\fortunamed\Desktop\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m3\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m3\Desktop\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m1\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m1\Desktop\How Recovery Files.txt
  2018-02-14 08:50 - 2018-02-14 08:50 - 000000179 _____ C:\Program Files\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Все пользователи\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Downloads\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Documents\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Desktop\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\AppData\Local\Temp\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\ProgramData\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:49 - 000000179 _____ C:\Program Files (x86)\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:48 - 000003498 _____ C:\Windows\System32\Tasks\Encrypter
  2018-02-14 08:48 - 2018-02-14 08:48 - 000003242 _____ C:\Windows\System32\Tasks\EncrypterSt
  2018-02-14 08:48 - 2018-02-14 08:48 - 000000179 _____ C:\How Recovery Files.txt
  Task: {805F28B1-19D5-4398-9FDB-2CBBD5F4D8DC} - System32\Tasks\Microsoft\Windows\Location\Scheduled => ctfmon.vbs
  Task: {C28B62A1-B409-4ECB-94C5-8DF38584325C} - System32\Tasks\EncrypterSt => C:\Users\Администратор\AppData\Roaming\info.exe <==== ATTENTION
  Task: {CB3BCC86-5E0C-4DD6-8B19-F44C2334939B} - System32\Tasks\Encrypter => C:\Users\Администратор\AppData\Roaming\info.exe <==== ATTENTION
  AlternateDataStreams: C:\Windows:Active.txt [13]
  AlternateDataStreams: C:\Windows\Temp:Account.txt [9]
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

[dostupnaya-sreda]

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\server\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\server\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Public\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Public\Desktop\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\fortunamed\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\fortunamed\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default User\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\apt\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\apt\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m3\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m3\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m1\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m1\Documents\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\yoline\Desktop\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\server\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\server\Desktop\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\Public\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\Public\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\fortunamed\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\fortunamed\Desktop\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m3\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m3\Desktop\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m1\Downloads\How Recovery Files.txt
  2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m1\Desktop\How Recovery Files.txt
  2018-02-14 08:50 - 2018-02-14 08:50 - 000000179 _____ C:\Program Files\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Все пользователи\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Downloads\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Documents\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Desktop\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\AppData\Local\Temp\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\ProgramData\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:49 - 000000179 _____ C:\Program Files (x86)\How Recovery Files.txt
  2018-02-14 08:48 - 2018-02-14 08:48 - 000003498 _____ C:\Windows\System32\Tasks\Encrypter
  2018-02-14 08:48 - 2018-02-14 08:48 - 000003242 _____ C:\Windows\System32\Tasks\EncrypterSt
  2018-02-14 08:48 - 2018-02-14 08:48 - 000000179 _____ C:\How Recovery Files.txt
  Task: {805F28B1-19D5-4398-9FDB-2CBBD5F4D8DC} - System32\Tasks\Microsoft\Windows\Location\Scheduled => ctfmon.vbs
  Task: {C28B62A1-B409-4ECB-94C5-8DF38584325C} - System32\Tasks\EncrypterSt => C:\Users\Администратор\AppData\Roaming\info.exe <==== ATTENTION
  Task: {CB3BCC86-5E0C-4DD6-8B19-F44C2334939B} - System32\Tasks\Encrypter => C:\Users\Администратор\AppData\Roaming\info.exe <==== ATTENTION
  AlternateDataStreams: C:\Windows:Active.txt [13]
  AlternateDataStreams: C:\Windows\Temp:Account.txt [9]
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

Запустил Fix, перезагрузился запустил AutoLogger.exe мало ли может пригодится

Fixlog.txt

CollectionLog-2018.02.14-14.46.zip

[Sandor]

Не цитируйте, пожалуйста, все предыдущее сообщение.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[dostupnaya-sreda]

Прошу прощения за цитирование!

 

А расшифровать файлы реально после этого трояна? 

Доктор веб написал что они не смогут помочь мол у вас 

Файлы зашифрованы Trojan.Encoder.24249 

[Sandor]

Уточню: мы - не сотрудники ЛК и у нас инструментов для расшифровки этого типа вымогателя нет.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[dostupnaya-sreda]

Добрый день!

Может у кого-то тоже возникнет подобная проблема.

 

Через некоторое время после публикации новой темы, со мной связались в личке и попросили отправить пару зашифрованных файлов, пообещали помочь.

уже к вечеру этого же дня мне выслали дешифратор, и я успешно расшифровал почти все файлы. К сожалению не расшифрованы файлы большого размера более 4 gb. Хотя мне пообещали и для них выслать отдельный дешифратор.

 

Хочу поблагодарить их, а всем желающим избавится от подобной заразы оставить контактный e-mail gufito@tutanota.com.

Если вы пострадали от подобного шифровальщика пишите на почту с примером файла, мне бесплатно выслали дешифратор, и пообещали остальным тоже высылать бесплатно.

[thyrex]

Не всем, а только пользователям из России.

 

Проверьте ЛС