Шифровальщик Dharma Ransomware. Обновление от 04.04.18

[Wisk]

Добрый день! Подцепил в пятницу 13-го такую дрянь. Все файлы теперь выглядят как в описании топика https://forum.kasperskyclub.ru/index.php?showtopic=59014

 

Снес сами файлы этой гадости в карантин утилиткой CureIt. 

 

Подскажите, что делать дальше и как дешифровать файлы.

CollectionLog-2018.04.15-10.56.zip

[regist]

Здравствуйте!

 

 

как дешифровать файлы.

с рассшифровкой помочь не сможем, только дочистить вирус.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5A4A159B.[Filecode99@cock.li].arrow', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\home\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5A4A159B.[Filecode99@cock.li].arrow', '');
 QuarantineFile('C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\WINDOWS\Fonts\ctfmon.vbs', '');
 DeleteFile('C:\WINDOWS\Fonts\ctfmon.vbs');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5A4A159B.[Filecode99@cock.li].arrow', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\home\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5A4A159B.[Filecode99@cock.li].arrow', '32');
 DeleteFile('C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\home\AppData\Roaming\Info.hta');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\home\AppData\Roaming\Info.hta');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = http://thehonak.info/7L3eQe/m6Jk.eut
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 46.45.229.159:8081 (disabled)
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0http://thehonak.info/7L3eQe/m6Jk.eut
O2 - HKLM\..\BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\programs\SnagIt 10\DLLx64\SnagitBHO64.dll (file missing)
O3-32 - HKLM\..\Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\programs\SnagIt 10\SnagitIEAddin.dll (file missing)
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Snagit 10.lnk.id-5A4A159B.[Filecode99@cock.li].arrow
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5A4A159B.[Filecode99@cock.li].arrow
O4 - HKCU\..\Run: [C:\Users\home\AppData\Roaming\Info.hta] = C:\WINDOWS\system32\mshta.exe "C:\Users\home\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] = C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe  (file missing)
O4 - HKLM\..\StartupApproved\Run32: [StartCCC] (1601/01/01) = C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe MSRun (file missing)
O4-32 - HKLM\..\Run: [Dropbox] = C:\Program Files (x86)\Dropbox\Client\Dropbox.exe /systemstartup (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt1 Class - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt10 Class - {FB314EE2-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt2 Class - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt3 Class - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt4 Class - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt5 Class - {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt6 Class - {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt7 Class - {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt8 Class - {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt9 Class - {FB314EE1-A251-47B7-93E1-CDD82E34AF8B} - C:\Program Files (x86)\Dropbox\Client\DropboxExt.19.0.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ErrorOverlayHandler Class - {BBACC218-34EA-4666-9D7A-C78F2274A524} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ReadOnlyOverlayHandler Class - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: SharedOverlayHandler Class - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: SharedSyncingOverlayHandler Class - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: SyncingOverlayHandler Class - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: UpToDateOverlayHandler Class - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - C:\Users\home\AppData\Local\Microsoft\OneDrive\18.044.0301.0006\FileSyncShell.dll (file missing)
O22 - Task: CorelUpdateHelperTaskCore - c:\Program Files (x86)\Corel\CUH\v2\CUH.exe /t (file missing)
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-754837937-4034852023-609716144-1003 - C:\Users\home\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-754837937-4034852023-609716144-1007 - C:\Users\home\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: Soft installer - C:\Users\home\AppData\Local\Comms\1514804635_installcube.exe subid=3107;src=123;scheduler=1 (file missing)
O22 - Task: \Microsoft\Windows\Location\Scheduled - C:\WINDOWS\Fonts\ctfmon.vbs
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 15 апреля, 2018 пользователем regist

[Wisk]

Ответ

Почта Mail.Ru - Re quarantine.zip KLAN-7923817792.pdf

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Не сделали.

[Wisk]

Сделал

CollectionLog-2018.04.18-22.07.zip

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Wisk]

Отчеты FRST

Addition.txt

FRST.txt

Shortcut.txt

[regist]

Проверьте эти файлы на virustotal

C:\WINDOWS\system32\runexehelper.exe
C:\WINDOWS\system32\sxj2mci.exe
C:\WINDOWS\system32\sxj2mci.dll
C:\WINDOWS\system32\sxj2mlm.dll

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
FF Extension: (No Name) - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCFirefoxExtn [2018-04-13] [not signed]
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\Program Files (x86)\MICROS~1\Office14\NPAUTHZ.DLL [No File]
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files (x86)\MICROS~1\Office14\NPSPWRAP.DLL [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.7\npGoogleUpdate3.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.7\npGoogleUpdate3.dll [No File]
FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [No File]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx <not found>
U4 CiSvc; no ImagePath
U4 dmwappushsvc; no ImagePath
U4 ERSvc; no ImagePath
U4 NvTelemetryContainer; no ImagePath
2018-04-13 11:01 - 2018-04-13 11:01 - 000013926 _____ C:\WINDOWS\system32\Info.hta
2018-04-13 11:01 - 2018-04-13 11:01 - 000000224 _____ C:\FILES ENCRYPTED.txt
2018-03-24 17:32 - 2018-04-13 09:09 - 000000000 ____D C:\ProgramData\ProductData
2018-03-24 16:55 - 2018-03-24 17:07 - 000000000 ____D C:\Users\home\AppData\Local\Hostinstaller
AlternateDataStreams: C:\Windows:Active.txt [13]
AlternateDataStreams: C:\WINDOWS\Temp:Account.txt [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\Users\home\AppData\Local\Temp:Account.txt [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 

[Wisk]

Проверка C:\WINDOWS\system32\runexehelper.exe
https://www.virustotal.com/#/file/662e00746f22b39d4af93031ec2e49c594e08104223cd188c6fbe81794a98bdf/detection

 

 

Проверка C:\WINDOWS\system32\sxj2mci.exe

https://www.virustotal.com/#/file/d7981f8c2c23de080a9043606c1d8eb6c971ddf242e7f74a442b1a6ee27b4cf5/detection

 

Проверка C:\WINDOWS\system32\sxj2mci.dll

https://www.virustotal.com/#/file/c4c335264a07b422dcdb510f388170d5238e9ee8d8866a3e5464003cc5e88627/detection

 

Проверка C:\WINDOWS\system32\sxj2mlm.dll

https://www.virustotal.com/#/file/1c94e0fe3cb594b790418347f12fdc90098e95c5b6195b3ea224fc64e5e1a702/detection

 

fixlog.txt

Fixlog.txt

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Wisk]

Скрипт уязвимостей не обнаружил.

 

Есть какой-то шанс восстановить зашифрованные файлы?

 

На всякий случай прикладываю текстовик, который шифровальщик везде положил.

Зашифрованные файлы не позволяет прикреплять.

 

[regist]

 

 

Есть какой-то шанс восстановить зашифрованные файлы?

Если поймают злодеев, то возможно будет. Такие преценденты уже были.