Атакова вирус scarab

[fabbeg]

Доброго дня (если так можно).

Имею ESXi с виртуальными машинами (для каждого пользователя своя) и общий ресурс. Вирус атаковал сегодня в 3 по мск. Частично (самое важное) вернул из резерва, остальное хочется вылечить.

Машина-зараза локализована и отключена (от греха), заражен общий ресурс, из которого и взята информация. Включать машину-носителя боюсь (как в прошлый раз). Отчет и пару файлов прилагаю.

CollectionLog-2018.03.23-10.07.zip

SAFINRR.zip

Изменено 23 марта, 2018 пользователем fabbeg

[Sandor]

Здравствуйте!

 

как в прошлый раз

Почему же Вы бросили и не довели лечение до конца?

 

заражен общий ресурс, из которого и взята информация

Надо так понимать, что заражение произошло не на том компьютере, с которого логи, верно?

[fabbeg]

Виноват, каюсь.

Совершенно верно, та машина отключена (не удалена).

[Sandor]

Логи нужны с того компьютера. В сеть можете его не включать, а перенести флэшкой.

[fabbeg]

Попробую как-нибудь локализовать машину. однако сомневаюсь, что смогу выгружать или загружать файлы. Буду думать

[fabbeg]

прикрепляю лог доктора и автологера. изолировал машину, так что в логах он не пингует внешние ресурсы.

CUREIT.LOG

CollectionLog-2018.03.23-13.21.zip

[Sandor]

Файл

C:\Users\Admin\Инструкция по расшифровке файлов.TXT

тоже прикрепите.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\winhost.exe');
 QuarantineFile('C:\ProgramData\winhost.exe', '');
 QuarantineFile('C:\Users\Admin\Инструкция по расшифровке файлов.TXT', '');
 ExecuteFile('schtasks.exe', '/delete /TN "winhost" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\winhost.exe', '32');
 DeleteFile('C:\Users\Admin\Инструкция по расшифровке файлов.TXT', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'xGbbiYUsMso');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[fabbeg]

Карантин направил по адресу, жду письма. Лог собрал после перезагрузки системы.

CollectionLog-2018.03.23-14.47.zip

Изменено 23 марта, 2018 пользователем Sandor
Убрал карантин

[Sandor]

Файл

Цитата C:\Users\Admin\Инструкция по расшифровке файлов.TXT

тоже прикрепите.

Ждем.

Если именно этого нет, прикрепите другой (их должно быть несколько).

[fabbeg]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
winhost.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

В антивирусных базах информация по присланным вами файлам отсутствует:
Инструкция по расшифровке файлов.TXT

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------
From: "w q" <fabbeg@yandex.ru>
Sent: 3/23/2018 1:43:00 PM
To: newvirus@kaspersky.com
Subject: карантин

[KLAN-7805617897]

текстовый файл прилагаю

Нужно ли отправить инструкцию по адресу электронной почты?

 

Опыт лечения подобных шифровальщиков был? Есть надежда на спасение?

Инструкция по расшифровке файлов.TXT

Изменено 23 марта, 2018 пользователем fabbeg

[Sandor]

Шансы весьма призрачны и, скорее всего, восстановить не получится.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[fabbeg]

но я так понимаю мне это мало чем поможет, разве что статистика для касперского.

Addition.txt

FRST.TXT

Shortcut.txt

[Sandor]

разве что статистика

Нет, это очистка "хвостов".

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction <==== ATTENTION
  2018-03-23 04:21 - 2018-03-23 04:21 - 000003869 _____ C:\Users\Admin\Downloads\Инструкция по расшифровке файлов.TXT.scarab
  2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Term\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Term\Downloads\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Term\Documents\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Term\Desktop\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Admin\Downloads\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:21 - 2018-03-23 04:21 - 000003682 _____ C:\Users\Admin\Documents\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:19 - 2018-03-23 05:41 - 000003682 _____ C:\Users\Admin\Desktop\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:19 - 2018-03-23 04:19 - 000003869 _____ C:\Users\Admin\Desktop\Инструкция по расшифровке файлов.TXT.scarab
  2018-03-23 04:19 - 2018-03-23 04:19 - 000003682 _____ C:\Users\Инструкция по расшифровке файлов.TXT
  2018-03-23 04:16 - 2018-03-23 04:16 - 000003682 _____ C:\Инструкция по расшифровке файлов.TXT
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[fabbeg]

Я все равно удалю эту виртуальную машину, мне важнее расшифровать те файлы, которые в общем хранилище (и то небольшую часть).

Результат.

Fixlog.txt

[Sandor]

все равно удалю эту виртуальную машину

Об этом можно было сообщить в начале темы.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.