Вирус вымогатель на Windows Server 2008R2, файлы зашифрованы с расширением rapid

14 февраля, 2018

Здравствуйте!

Опишу как было дело.

Утром в 9:00 запустил рабочий комп и 1С, минут 5 работало всё хорошо, затем 1С перестала отвечать.

Попытался по RDP подключится к серверу выдало мол сервер не отвечает.

Подошёл к серверу, запустил под админом и вижу открытый блокнот с надписью

Hello, dear friend!

All your files have been ENCRYPTED

Do you really want to restore your files?

Write to our email - lola2017@tuta.io

and tell us your unique ID - ID-KN13NFTO

Вырубил сетку, чтобы зараза дальше не пошла.

Убедился что все файлы на 3 жёстких дисках зашифрованы.

Нашёл Ваш форум и правила оформления заявки. Далее старался делать как указано в правилах, прогнал kvrt и cureit.

cureit ругнулся на Tool.HideFolders.4 Путь: С:\Windows\System32\Drivers\FSPFLtd2.sys

Далее запустил AutoLogger.exe и Farbar Recovery Scan Tool

Их отчёты а так же примеры зашифрованных файлов прикрепляю. Пароль на архив с заражёнными файлами 0000.

Shortcut.rar

14 февраля, 2018

Здравствуйте!

Логи собраны в безопасном режиме. В обычном система не запускается?

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\info.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\recovery.txt', '');
 QuarantineFile('C:\Windows\Fonts\ctfmon.vbs', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Encrypter" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "EncrypterSt" /F', 0, 15000, true);
 DeleteFile('C:\Users\Администратор\AppData\Roaming\info.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\recovery.txt', '32');
 DeleteFile('C:\Windows\Fonts\ctfmon.vbs');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Encrypter_074');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'userinfo');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Пробуйте в обычном (не в безопасном) режиме.

Прикрепите к следующему сообщению свежий CollectionLog.

14 февраля, 2018

Здравствуйте!

Логи собраны в безопасном режиме. В обычном система не запускается?

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\info.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\recovery.txt', '');
 QuarantineFile('C:\Windows\Fonts\ctfmon.vbs', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Encrypter" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "EncrypterSt" /F', 0, 15000, true);
 DeleteFile('C:\Users\Администратор\AppData\Roaming\info.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\recovery.txt', '32');
 DeleteFile('C:\Windows\Fonts\ctfmon.vbs');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Encrypter_074');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'userinfo');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Пробуйте в обычном (не в безопасном) режиме.

Прикрепите к следующему сообщению свежий CollectionLog.

В обычном режиме ранее сразу заражало флешку когда я пытался сделать отчёт. После прогона AVZ смог запустится в обычном режиме. Ниже текст письма и KLAN

No information about the specified files can be found in the antivirus databases:

ctfmon.vbs

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

KLAN-7641066154

Новые логи прикрепил

Addition.rar

14 февраля, 2018

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\server\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\server\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Public\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Public\Desktop\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\fortunamed\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\fortunamed\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default User\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\apt\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\apt\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m3\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m3\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m1\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m1\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\yoline\Desktop\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\server\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\server\Desktop\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\Public\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\Public\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\fortunamed\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\fortunamed\Desktop\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m3\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m3\Desktop\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m1\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m1\Desktop\How Recovery Files.txt
2018-02-14 08:50 - 2018-02-14 08:50 - 000000179 _____ C:\Program Files\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Все пользователи\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Downloads\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Documents\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Desktop\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\AppData\Local\Temp\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\ProgramData\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:49 - 000000179 _____ C:\Program Files (x86)\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:48 - 000003498 _____ C:\Windows\System32\Tasks\Encrypter
2018-02-14 08:48 - 2018-02-14 08:48 - 000003242 _____ C:\Windows\System32\Tasks\EncrypterSt
2018-02-14 08:48 - 2018-02-14 08:48 - 000000179 _____ C:\How Recovery Files.txt
Task: {805F28B1-19D5-4398-9FDB-2CBBD5F4D8DC} - System32\Tasks\Microsoft\Windows\Location\Scheduled => ctfmon.vbs
Task: {C28B62A1-B409-4ECB-94C5-8DF38584325C} - System32\Tasks\EncrypterSt => C:\Users\Администратор\AppData\Roaming\info.exe <==== ATTENTION
Task: {CB3BCC86-5E0C-4DD6-8B19-F44C2334939B} - System32\Tasks\Encrypter => C:\Users\Администратор\AppData\Roaming\info.exe <==== ATTENTION
AlternateDataStreams: C:\Windows:Active.txt [13]
AlternateDataStreams: C:\Windows\Temp:Account.txt [9]
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

14 февраля, 2018

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\yoline\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\server\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\server\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Public\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Public\Desktop\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\fortunamed\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\fortunamed\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Default User\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\apt\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\apt\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m3\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m3\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m1\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:56 - 000000179 _____ C:\Users\almaty-m1\Documents\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\yoline\Desktop\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\server\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\server\Desktop\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\Public\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\Public\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\fortunamed\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\fortunamed\Desktop\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m3\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m3\Desktop\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m1\Downloads\How Recovery Files.txt
2018-02-14 08:52 - 2018-02-14 08:52 - 000000179 _____ C:\Users\almaty-m1\Desktop\How Recovery Files.txt
2018-02-14 08:50 - 2018-02-14 08:50 - 000000179 _____ C:\Program Files\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Все пользователи\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Downloads\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Documents\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\Desktop\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\Users\Администратор\AppData\Local\Temp\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:56 - 000000179 _____ C:\ProgramData\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:49 - 000000179 _____ C:\Program Files (x86)\How Recovery Files.txt
2018-02-14 08:48 - 2018-02-14 08:48 - 000003498 _____ C:\Windows\System32\Tasks\Encrypter
2018-02-14 08:48 - 2018-02-14 08:48 - 000003242 _____ C:\Windows\System32\Tasks\EncrypterSt
2018-02-14 08:48 - 2018-02-14 08:48 - 000000179 _____ C:\How Recovery Files.txt
Task: {805F28B1-19D5-4398-9FDB-2CBBD5F4D8DC} - System32\Tasks\Microsoft\Windows\Location\Scheduled => ctfmon.vbs
Task: {C28B62A1-B409-4ECB-94C5-8DF38584325C} - System32\Tasks\EncrypterSt => C:\Users\Администратор\AppData\Roaming\info.exe <==== ATTENTION
Task: {CB3BCC86-5E0C-4DD6-8B19-F44C2334939B} - System32\Tasks\Encrypter => C:\Users\Администратор\AppData\Roaming\info.exe <==== ATTENTION
AlternateDataStreams: C:\Windows:Active.txt [13]
AlternateDataStreams: C:\Windows\Temp:Account.txt [9]
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Запустил Fix, перезагрузился запустил AutoLogger.exe мало ли может пригодится

Fixlog.txt

CollectionLog-2018.02.14-14.46.zip

14 февраля, 2018

Не цитируйте, пожалуйста, все предыдущее сообщение.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

14 февраля, 2018

Прошу прощения за цитирование!

А расшифровать файлы реально после этого трояна?

Доктор веб написал что они не смогут помочь мол у вас

Файлы зашифрованы Trojan.Encoder.24249

14 февраля, 2018

Уточню: мы - не сотрудники ЛК и у нас инструментов для расшифровки этого типа вымогателя нет.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

17 февраля, 2018

Добрый день!

Может у кого-то тоже возникнет подобная проблема.

Через некоторое время после публикации новой темы, со мной связались в личке и попросили отправить пару зашифрованных файлов, пообещали помочь.

уже к вечеру этого же дня мне выслали дешифратор, и я успешно расшифровал почти все файлы. К сожалению не расшифрованы файлы большого размера более 4 gb. Хотя мне пообещали и для них выслать отдельный дешифратор.

Хочу поблагодарить их, а всем желающим избавится от подобной заразы оставить контактный e-mail gufito@tutanota.com.

Если вы пострадали от подобного шифровальщика пишите на почту с примером файла, мне бесплатно выслали дешифратор, и пообещали остальным тоже высылать бесплатно.

17 февраля, 2018

Не всем, а только пользователям из России.

Проверьте ЛС

Вирус вымогатель на Windows Server 2008R2, файлы зашифрованы с расширением rapid

Рекомендуемые сообщения

dostupnaya-sreda

Sandor

dostupnaya-sreda

Sandor

dostupnaya-sreda

Sandor

dostupnaya-sreda

Sandor

dostupnaya-sreda

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum