Шифровальщик

[cliffero 0]

На сервере под windows serwer 2008 r2 подхватил шифровальщик. Заразу убил с помощью kaspersky virus removal tool, хотелось бы восстановить файлы, возможно ли это?

CollectionLog-2018.04.26-11.12.zip

[thyrex 1 468]

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','64');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','32');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[cliffero 0]

Выполнил скрипты, отправил, получил ответ:

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
waspwing.exe - not-a-virus:RiskTool.Win32.Agent.amrm
wasp.exe - not-a-virus:RiskTool.Win32.Agent.amrp

В антивирусных базах информация по присланным вами файлам отсутствует:
mms.exe
lsm.exe
mms_0.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ"

 

После этого снова запустил Autologger

 

Забыл указать тему письма: Шифровальщик [KLAN-7973245825]

CollectionLog-2018.04.26-13.20.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[cliffero 0]

Выполнил

zip.zip

[thyrex 1 468]

Поищите пару - шифрованный и незашифрованный оригинал - какого-либо файла и прикрепите в архиве вместе с файлом C:\HOW DECRIPT FILES.hta к следующему сообщению.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
S2 wscsvs; C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe [X]
C:\Windows\Inf\axperflib\0010
C:\Windows\Inf\NETLIBRARIESTIP\000D
2018-04-26 05:05 - 2018-04-26 05:05 - 000009050 _____ C:\Windows\SysWOW64\HOW DECRIPT FILES.hta
2018-04-26 05:05 - 2018-04-26 05:05 - 000009050 _____ C:\Windows\SysWOW64\Drivers\HOW DECRIPT FILES.hta
2018-04-26 04:54 - 2018-04-26 04:54 - 000009050 _____ C:\Windows\HOW DECRIPT FILES.hta
2018-04-26 04:52 - 2018-04-26 04:52 - 000009050 _____ C:\Users\Администратор\Downloads\HOW DECRIPT FILES.hta
2018-04-26 04:51 - 2018-04-26 04:51 - 000009050 _____ C:\Users\Администратор\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:51 - 2018-04-26 04:51 - 000009050 _____ C:\Users\Администратор\AppData\LocalLow\HOW DECRIPT FILES.hta
2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\Администратор\HOW DECRIPT FILES.hta
2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\Администратор\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\zaytsev\HOW DECRIPT FILES.hta
2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\zaytsev\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\zaytsev\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\windows nt\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\windows nt\AppData\LocalLow\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\windows nt\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\windows nt\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP.INTEGRALTECH\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP.INTEGRALTECH\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP.INTEGRALTECH\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\Public\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\petrunichev\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\petrunichev\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\petrunichev\AppData\LocalLow\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\petrunichev\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\msp\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\msp\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\msp\AppData\LocalLow\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\msp\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\kuramshin\Downloads\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\kuramshin\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\kuramshin\AppData\LocalLow\HOW DECRIPT FILES.hta
2018-04-26 04:48 - 2018-04-26 04:48 - 000009050 _____ C:\Users\kuramshin\HOW DECRIPT FILES.hta
2018-04-26 04:48 - 2018-04-26 04:48 - 000009050 _____ C:\Users\kuramshin\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:48 - 2018-04-26 04:48 - 000009050 _____ C:\Users\kaban\Downloads\HOW DECRIPT FILES.hta
2018-04-26 04:47 - 2018-04-26 04:47 - 000009050 _____ C:\Users\kaban\HOW DECRIPT FILES.hta
2018-04-26 04:47 - 2018-04-26 04:47 - 000009050 _____ C:\Users\kaban\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:47 - 2018-04-26 04:47 - 000009050 _____ C:\Users\kaban\AppData\LocalLow\HOW DECRIPT FILES.hta
2018-04-26 04:47 - 2018-04-26 04:47 - 000009050 _____ C:\Users\kaban\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\INTEGRALTECH.0001\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\INTEGRALTECH.0001\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\INTEGRALTECH.0001\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\ershov\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\ershov\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\ershov\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Default\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Default\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Default\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Default User\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Default User\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Classic .NET AppPool\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Classic .NET AppPool\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\ASPNET\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\ASPNET\AppData\LocalLow\HOW DECRIPT FILES.hta
2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\ASPNET\HOW DECRIPT FILES.hta
2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\ASPNET\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\andreev\HOW DECRIPT FILES.hta
2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\andreev\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\andreev\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\AMDService\HOW DECRIPT FILES.hta
2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\AMDService\AppData\Roaming\HOW DECRIPT FILES.hta
2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\AMDService\AppData\HOW DECRIPT FILES.hta
2018-04-26 04:36 - 2018-04-26 04:36 - 000009050 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta
2018-04-26 04:36 - 2018-04-26 04:36 - 000009050 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta
2018-04-26 04:35 - 2018-04-26 04:35 - 000009050 _____ C:\Users\Все пользователи\HOW DECRIPT FILES.hta
2018-04-26 04:35 - 2018-04-26 04:35 - 000009050 _____ C:\ProgramData\HOW DECRIPT FILES.hta
2018-04-26 04:33 - 2018-04-26 04:33 - 000009050 _____ C:\Program Files (x86)\HOW DECRIPT FILES.hta
2018-04-26 04:31 - 2018-04-26 04:31 - 000009050 _____ C:\Program Files\HOW DECRIPT FILES.hta
2018-04-26 04:31 - 2018-04-26 04:31 - 000009050 _____ C:\Program Files\Common Files\HOW DECRIPT FILES.hta
Task: {29A11E58-4A51-4190-AA7C-A186427F64D5} - \AdobeReaderUpdate -> No File <==== ATTENTION
Task: {85CF26F9-EE93-4B48-8D3D-671FBF457A6E} - \CCleanerSkipUAC -> No File <==== ATTENTION

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную.

[cliffero 0]

Сделано

В архиве файлы разных форматов (DOC, XLS, PDF). Также есть файлы не переименованные, но с некорректным содержимым.

1.zip

Fixlog.txt

[cliffero 0]

Еще файлы

2.zip

[thyrex 1 468]

Проверьте ЛС

[thyrex 1 468]

Папку с карантином после работы FRST найдите на диске С, упакуйте в архив и прикрепите к следующему сообщению

[cliffero 0]

Файл получился большой, залил на google drive, не знаю получится ли скачать, файлообменники обычно ругаются на наличие вирусов 

 

Сообщение от модератора thyrex

Скачал, ссылку удалил

[thyrex 1 468]

Файл из второй посылки можно расшифровать тем же ключом. Просто не нужно было менять имя файла после шифрования.

[cliffero 0]

Я не менял имя файла. как теперь вернуть зашифрованное имя файла, потому что так эти файлы пропускаются

[thyrex 1 468]

Значит это сделал кто-то другой. Вирус переименовывает файл, заменяя символы его имени на их шестнадцатеричное представление и дописывая в начале адрес электронной почты для связи. 

[cliffero 0]

А можно их как-нибудь вернуть к исходному виду?