scarab Атакова вирус scarab

23 марта, 2018

Доброго дня (если так можно).

Имею ESXi с виртуальными машинами (для каждого пользователя своя) и общий ресурс. Вирус атаковал сегодня в 3 по мск. Частично (самое важное) вернул из резерва, остальное хочется вылечить.

Машина-зараза локализована и отключена (от греха), заражен общий ресурс, из которого и взята информация. Включать машину-носителя боюсь (как в прошлый раз). Отчет и пару файлов прилагаю.

CollectionLog-2018.03.23-10.07.zip

SAFINRR.zip

Изменено 23 марта, 2018 пользователем fabbeg

23 марта, 2018

Здравствуйте!

как в прошлый раз

Почему же Вы бросили и не довели лечение до конца?

заражен общий ресурс, из которого и взята информация

Надо так понимать, что заражение произошло не на том компьютере, с которого логи, верно?

23 марта, 2018

Виноват, каюсь.

Совершенно верно, та машина отключена (не удалена).

23 марта, 2018

Логи нужны с того компьютера. В сеть можете его не включать, а перенести флэшкой.

23 марта, 2018

Попробую как-нибудь локализовать машину. однако сомневаюсь, что смогу выгружать или загружать файлы. Буду думать

23 марта, 2018

прикрепляю лог доктора и автологера. изолировал машину, так что в логах он не пингует внешние ресурсы.

CUREIT.LOG

CollectionLog-2018.03.23-13.21.zip

23 марта, 2018

Файл

C:\Users\Admin\Инструкция по расшифровке файлов.TXT

тоже прикрепите.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\winhost.exe');
 QuarantineFile('C:\ProgramData\winhost.exe', '');
 QuarantineFile('C:\Users\Admin\Инструкция по расшифровке файлов.TXT', '');
 ExecuteFile('schtasks.exe', '/delete /TN "winhost" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\winhost.exe', '32');
 DeleteFile('C:\Users\Admin\Инструкция по расшифровке файлов.TXT', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'xGbbiYUsMso');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

23 марта, 2018

Карантин направил по адресу, жду письма. Лог собрал после перезагрузки системы.

CollectionLog-2018.03.23-14.47.zip

Изменено 23 марта, 2018 пользователем Sandor
Убрал карантин

23 марта, 2018

Файл

Цитата C:\Users\Admin\Инструкция по расшифровке файлов.TXT

тоже прикрепите.

Ждем.

Если именно этого нет, прикрепите другой (их должно быть несколько).

23 марта, 2018

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
winhost.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

В антивирусных базах информация по присланным вами файлам отсутствует:
Инструкция по расшифровке файлов.TXT

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------
From: "w q" <fabbeg@yandex.ru>
Sent: 3/23/2018 1:43:00 PM
To: newvirus@kaspersky.com
Subject: карантин

[KLAN-7805617897]

текстовый файл прилагаю

Нужно ли отправить инструкцию по адресу электронной почты?

Опыт лечения подобных шифровальщиков был? Есть надежда на спасение?

Инструкция по расшифровке файлов.TXT

Изменено 23 марта, 2018 пользователем fabbeg

23 марта, 2018

Шансы весьма призрачны и, скорее всего, восстановить не получится.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

23 марта, 2018

но я так понимаю мне это мало чем поможет, разве что статистика для касперского.

Addition.txt

FRST.TXT

Shortcut.txt

23 марта, 2018

разве что статистика

Нет, это очистка "хвостов".

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
2018-03-23 04:21 - 2018-03-23 04:21 - 000003869 _____ C:\Users\Admin\Downloads\Инструкция по расшифровке файлов.TXT.scarab
2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Term\Инструкция по расшифровке файлов.TXT
2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Term\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Term\Documents\Инструкция по расшифровке файлов.TXT
2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Term\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Admin\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Admin\Documents\Инструкция по расшифровке файлов.TXT
2018-03-23 04:19 - 2018-03-23 05:41 - 000003682 _____ C:\Users\Admin\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-23 04:19 - 2018-03-23 04:19 - 000003869 _____ C:\Users\Admin\Desktop\Инструкция по расшифровке файлов.TXT.scarab
2018-03-23 04:19 - 2018-03-23 04:19 - 000003682 _____ C:\Users\Инструкция по расшифровке файлов.TXT
2018-03-23 04:16 - 2018-03-23 04:16 - 000003682 _____ C:\Инструкция по расшифровке файлов.TXT
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

23 марта, 2018

Я все равно удалю эту виртуальную машину, мне важнее расшифровать те файлы, которые в общем хранилище (и то небольшую часть).

Результат.

Fixlog.txt

23 марта, 2018

все равно удалю эту виртуальную машину

Об этом можно было сообщить в начале темы.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

scarab Атакова вирус scarab

Рекомендуемые сообщения

fabbeg

Sandor

fabbeg

Sandor

fabbeg

fabbeg

Sandor

fabbeg

Sandor

fabbeg

Sandor

fabbeg

Sandor

fabbeg

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum