Шифровальщик bomber

[bravo-ej]

Доброго дня, товарищи! 
Вижу не я один тут такой. Помогите пожалуйста! 

 

ситуация стандартная - утром включились и увидели. 

 

Что сделано:

1) KART запущен и просканировано всё (включая системный раздел). 

было найдено (пока остаётся в карантине):

D:\Users\Таня\AppData\Roaming\qdpisih.dll

D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll

 

2) запущен автоматический сборщик логов и отработал сценарий (хотя он обещал перезагрузку... а ё не было. Но я не пропускал 1 этап). Прикрепил.

3) запущен FRST. Файлы от него прикрепил.

 

CollectionLog-2018.06.19-15.46.zip

FRST.txt

Addition.txt

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('d:\users\Таня\appdata\roaming\int\regsvr.exe');
 QuarantineFile('D:\Users\Таня\AppData\Roaming\INT\MSVFW32.dll', '');
 QuarantineFile('d:\users\Таня\appdata\roaming\int\regsvr.exe', '');
 QuarantineFile('D:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk', '');
 QuarantineFile('D:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk', '');
 QuarantineFile('D:\Users\Таня\AppData\Roaming\qdpisih.dll', '');
 QuarantineFile('D:\Users\Таня\AppData\Roaming\SysplanNT\MSIMG32.dll', '');
 QuarantineFile('D:\Users\Таня\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '');
 QuarantineFileF('d:\users\Таня\appdata\roaming\int\', '*', true, '', 0, 0);
 QuarantineFileF('D:\Users\Таня\AppData\Roaming\SysplanNT\', '*', true, '', 0, 0);
 DeleteFile('D:\Users\Таня\AppData\Roaming\INT\MSVFW32.dll', '32');
 DeleteFile('d:\users\Таня\appdata\roaming\int\regsvr.exe', '32');
 DeleteFile('D:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk');
 DeleteFile('D:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk');
 DeleteFile('d:\users\таня\appdata\roaming\qdpisih.dll', '');
 DeleteFile('d:\users\таня\appdata\roaming\qdpisih.dll', '32');
 DeleteFile('D:\Users\Таня\AppData\Roaming\qdpisih.dll', '64');
 DeleteFile('D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll', '32');
 DeleteFile('D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll', '64');
 DeleteFile('D:\Users\Таня\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '32');
 DeleteFile('D:\Users\Таня\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'update_w32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'URaog');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ пришлите на почту , укажите  в письме ссылку на тему, в которой просили прислать файлы.

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

отработал сценарий (хотя он обещал перезагрузку... а ё не было. Но я не пропускал 1 этап).

на вашей системе не должно быть перезагрузки. Странно, что он её обещал. При сборе свежих логов можете сделать скрин окна, где он про это говорит?

Изменено 19 июня, 2018 пользователем regist

[bravo-ej]

1. Ссылка от VirusInfo:  https://virusinfo.info/virusdetector/report.php?md5=B7A4F7C9A14FBFB2DDC882852540F6D1

 

2. Письмо отправил. 

 

3. Логи прилагаю: 

CollectionLog-2018.06.19-16.51.zip

 

PS:

После запуска он сообщает, что будет два этапа и второй включается в себя перезагрузку... в общем вот скриншот. 

 

это не то, что бы прям диалоговое окно... возможно просто информационно. Но я решил упомянуть об этом. 

 

 

PS2: подгрузил на всякий случай логи от FRST

Addition-1.txt

FRST-1.txt

Изменено 19 июня, 2018 пользователем bravo-ej

[regist]

 

 

После запуска он сообщает, что будет два этапа и второй включается в себя перезагрузку... в общем вот скриншот.

вторая строчка на скрине, написанное в скобках прочтите .

 

 

Письмо отправил.

увы, не дошло. Просьба закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.

 

[bravo-ej]

Отправилено

[regist]

AMMYY Admin ваше?

и

HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\Run: [7-ZipPortable] => D:\Users\Таня\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)

вам знаком?

 

А так вам злодеи проинсталировали тим вьювер, через него залезли и всё сделали.

[bravo-ej]

Да, было дело пользовались. + от какого то спец софта (по теме бизнеса) он тоже используется.

[regist]

Про 7-ZipPortable не понял, ваше? И просьба не путать с

C:\Program Files\7-Zip\

который у вас также стоит.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\Run: [update_w32.exe] => C:\Windows\system32\regsvr32.exe /s scrrun.dll "D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll" htvrh666 "D:\Users\Таня\AppData\Roaming\SysplanNT\update_w32.exe" r <==== ATTENTION
  HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\Run: [OYTfqa] => D:\Users\Таня\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT [2444 2018-06-19] ()
  HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: F - F:\AutoRun.exe
  HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: G - G:\AutoRun.exe
  HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: {20458ee1-f097-11e3-a538-000c29184fd2} - G:\SETUP.EXE
  HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: {92a6e210-f07c-11e3-bf5b-806e6f6e6963} - F:\setup.exe
  HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: {b44d0f86-7e3c-11e4-a124-14dae9bdca5d} - F:\AutoRun.exe
  HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: {b44d0f97-7e3c-11e4-a124-14dae9bdca5d} - F:\AutoRun.exe
  HKU\S-1-5-21-2939633801-2705330331-3998745655-1002\...\MountPoints2: {20458ee1-f097-11e3-a538-000c29184fd2} - G:\SETUP.EXE
  HKU\S-1-5-21-2939633801-2705330331-3998745655-1002\...\MountPoints2: {92a6e210-f07c-11e3-bf5b-806e6f6e6963} - F:\setup.exe
  GroupPolicyScripts: Restriction <==== ATTENTION
  GroupPolicyScripts\User: Restriction <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[bravo-ej]

да, прошу прлщения, про портабл версию ничего не знаю и деоать ей там нечего виобщем то...

 

 

тимвьюер- это мой. 

 

 

Fixlog.txt

[akoK]

Проверьте теневые копии.

[regist]

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [7-ZipPortable] = D:\Users\Таня\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Выполните скрипт в AVZ при наличии доступа в интернет:
 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

 

 

Проверьте теневые копии.

можно и не проверять. Их нет, так что больше помочь нечем.

Изменено 19 июня, 2018 пользователем regist

[bravo-ej]

Понял... в плане возможности расшифровать это дело ... практики такой нет, что спустя неделю удаётся? Или всё, хоронить и поминки организовывать... правда не знаю, по бухгалтеру или только по файлам :-/

 

 

Спасибо за участие!

Изменено 19 июня, 2018 пользователем bravo-ej

[regist]

 

 

практики такой нет, что спустя неделю удаётся?

спустя неделю врядли, а так в будущем может и появится рассшифровка. Иногда по разным причинам появляется (находят автора трояна и получают ключи, находят дыру в реализации шифратора, либо сам автор бывает сливает ключи в паблик). Так что советую

 

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.