Файлы компьютера зашифрованы шифровальщикоь BlackRuby. Названия поменялись на Encrypted_набор символов.BlackRubyLight

[komsomolec]

Windows Server 2003. Судя по всему вирус попал по RDP (я наблюдал процессы winlogon и (вроде) scrnsrv с кодами сеанса 2), пароль был 123456+три латинских символа. Зашифровал много. Т.к. я побоялся распространения, я сервер выключил и жесткий диск подключил к другой машине, предварительно установив на нее антивирус.

 

Кое-что было в резервных копиях, поэтому я прикладываю:
1) оригинальные файлы
2) зараженные файлы
3) текстовый файл с требованиями злоумышленников, в котором хранится открытый ключ.

4) какой-то кусок svchost из папки temp (возможно чем-то поможет)

Если понадобится, я дополнительно могу выслать любые необходимые для решения проблемы файлы. Можно попробовать прогнать диск программами восстановления файлов для выявления исходного вирусного исполняемого файла.

 

Заранее благодарю за помощь!

BlackRuby.zip

[mike 1]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[komsomolec]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Этот автологгер можно запустить на другой системе, указав путь к зараженнной на другом диске?

Я не уверен, что смогу запустить систему и стремно, что вирус продолжит свое темное дело(

Из-под другой системы создал лог uVS из среды восстановления.

Если этого недостаточно, сообщите.

SERVER_2018-06-18_13-24-10.TXT

Изменено 18 июня, 2018 пользователем komsomolec

[mike 1]

Прикрепите J:\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HOW-TO-DECRYPT-FILES.TXT

 

+ Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.

 

Скопируйте FRST на флэш-накопитель:

 

 

Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в  компьютер. 

 

Выберите Командная строка

 

 

В командной строке введите следующее:

 

notepad и нажмите клавишу Enter. 

Откроется Блокнот. В меню Файл выберите Открыть. 

Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот. 

В окне введите команду e:\frst64.exe и нажмите клавишу Enter

Примечание: Замените букву e на букву вашего флэш-накопителя. 

 

• После того, как программа запустится, нажмите Yes для соглашения с предупреждением.

• Нажмите кнопку Scan. 

• После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[komsomolec]

В Windows Server 2003 интерфейс восстановления системы другой, конечно, но по аналогии сделал как вы указали. Файл HOW TO DECRYPT уже высылал в первом сообщении, дублирую во вложении.

Addition.txt

FRST.txt

Shortcut.txt

HOW-TO-DECRYPT-FILES.txt

[mike 1]

Cureit какие-то угрозы находил?

[komsomolec]

J:\WINDOWS\Temp\agacj.exe - quarantined

J:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\G6UT1VYE\OJBK[1].exe - quarantined

J:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\G6UT1VYE\newupdate[1].exe - quarantined

J:\Documents and Settings\All Users\Application Data\Windows\Classes\{a1e7b463-e13e-6517-9ca1-c41ae573976c}\msupdlgf.exe - quarantined

[mike 1]

Пришлите карантин Cureit в архиве. 

[komsomolec]

Пришлите карантин Cureit в архиве. 

Он почему-то не сохранился( Я могу попробовать прогнать программой для восстановления и попытаться восстановить файлы вируса. Это может помочь?

[mike 1]

Да карантин нужен, чтобы запрос оформить в техподдержку. Здесь по любому придется создавать https://forum.kasperskyclub.ru/index.php?showtopic=48525 запрос

Изменено 24 июня, 2018 пользователем mike 1