Вирус шифровальщик PAY_IN_MAXIM_24_HOURS

[imaginedm 0]

Добрый день!

 

Сегодня на Windows 2012 R2 обнаружил, что вирус зашифровал файлы, включая многогиговые бэкапы Акрониса.

Никаких следов вируса не могу найти ни одним антивирусом.

Все файлы имеют расширение:....PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment

 

В каждой папке лежит HOW TO DECRYPT FILES.txt. Текст в нем выглядит следующим образом:

 

All your important files were BLOCKED on this computer.

 

Encrtyption was produced using unique KEY generated for this computer. 

 

To decrypted files, you need to otbtain private key. 

The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;

The server will destroy the key within 24 hours after encryption completed.

REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!

To retrieve the private key, you need to pay 0.7 BTC

 

Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T

 

After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com  with subject : ERROR-ID-63100606(0.7BTC)

If you are  not familiar with bitcoin you can buy it from here :

SITE : www.localbitcoin.com

If you try to use third party for help  we will delete all your files

After we confirm the payment , we send the private key so you can decrypt your system.

 

Архивы логов программ прилагаю, а также пример файла прилагаю.

 

Буду благодарен за помощь!

 

CollectionLog-2018.05.15-23.12.zip

FRST.rar

encrypted_file.rar

[thyrex 1 412]

Образец зашифрованного doc или docx файла прикрепите в архиве к следующему сообщению.

 

+ Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\Fonts\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\Font.exe','');
 QuarantineFile('C:\ProgramData\winhost.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
 DeleteFile('C:\Users\admin1\AppData\Local\Temp\N75Q8UQ7qq4D3Vd.exe','32');
 DeleteFile('C:\ProgramData\winhost.exe','64');
 DeleteFile('C:\Windows\system32\Tasks\WinHostStartForMachne','x64');
 DeleteFile('C:\Windows\Fonts\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\Font.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
end.

• Обратите внимание: перезагрузка компьютера нужно выполнить вручную.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[imaginedm 0]

Образец зашифрованного файла в приложении. 

 

Логи в приложении.

 

Ответ ниже.

 

----------------------

Re: quarantine.zip [KLAN-8070559489]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Font.exe

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
winhost.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

docx-file.rar

CollectionLog-2018.05.16-01.04.zip

[thyrex 1 412]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[imaginedm 0]

Отчеты Farbar прилагаю.

Farbar.rar

[thyrex 1 412]

SpyHunter 4 удалите через Установку программ.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Startup: C:\Users\admin1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] ()
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] ()
Startup: C:\Users\farzad1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] ()
Startup: C:\Users\Guest\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] ()
Startup: C:\Users\Root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] ()
Startup: C:\Users\user_remote1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] ()
Startup: C:\Users\user_remote2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] ()
Startup: C:\Users\user_remote2.ALPHA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2016-02-09] ()
2016-05-06 11:46 - 2016-02-09 08:31 - 000000984 _____ () C:\Program Files\HOW TO DECRYPT FILES.txt
2016-05-06 11:46 - 2016-02-09 08:31 - 000000984 _____ () C:\Program Files (x86)\HOW TO DECRYPT FILES.txt
2016-05-06 11:46 - 2016-02-09 08:31 - 000000984 _____ () C:\Users\Administrator\AppData\Local\HOW TO DECRYPT FILES.txt
Task: {1785862C-BEED-4A11-ADB0-4B3DE315A73E} - \WinHostStartForMachne -> No File <==== ATTENTION
Tcpip\..\Interfaces\{50E88324-1E0A-45E6-A0AD-544700A97794}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{ECA4BE85-8567-4236-A3D7-033E0B828486}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера необходимо выполнить вручную.

[imaginedm 0]

SpyHunter удалил.

 

FixLog прилагаю.

Fixlog.rar

[thyrex 1 412]

Позже (после работы) выдам расшифровку

[imaginedm 0]

Спасибо большое!!!

[thyrex 1 412]

Проверьте ЛС