Шифровальщик

8 июля, 2018

Здравствуйте!

Подхватили шифровальщик, оказались зашифрованы файлы на всех серверах, в том числе виртуальные машины, везде, куда был доступ у доменного администратора.

Но не на всех компьютерах, доступных по сети, видимо что то помешало шифровальщику.

Во всех папках лежит файл how_to_back_files.html, его тоже прикрепляю.

На компьютерах стоит KasperskyEndpointSecurity

ping all cameras.cmd.zip - пример зашифрованного файла (это был батник)

CollectionLog-2018.07.08-20.35.zip

how_to_back_files.zip

ping all cameras.cmd.zip

Изменено 8 июля, 2018 пользователем fgu662018

8 июля, 2018

Это GlobeImposter 2.0, с рассшировкой помочь не сможем. Только дочистить хвосты.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 DeleteFile('C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.MARK', '64');
 DeleteFile('C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SMB\UninstallSMB1ClientTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SMB\UninstallSMB1ServerTask" /F', 0, 15000, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

8 июля, 2018

Большое спасибо за оперативность!

Подскажите, у меня еще несколько зараженных серверов, и возможно компьютеры пользователей.

Есть смысл выполнить на них этот скрипт АВЗ, или он специфичен для каждой системы? (вижу в скрипте пути до конкретных файлов)

Раз восстановление не возможно, сейчас стоит задача прекратить заражение и убить вирус.

Убьет ли KVRT этот вирус на серверах и компьютерах? Или воспользоваться чем-то еще?

Addition.txt

FRST.txt

8 июля, 2018

смысл выполнить на них этот скрипт АВЗ, или он специфичен для каждой системы?

специфичен для каждой системы. Если есть подозрение, что вирус попал на другие компы, а не просто пошифровал рассшаренные папки, то создайте для них отдельные темы.

Убьет ли KVRT этот вирус на серверах и компьютерах? Или воспользоваться чем-то еще?

У KVRT и у KES (если он актуален) одни и теже антивирусные базы, так что сканирование KES будет равносильно.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html [2018-07-07] ()
GroupPolicy: Restriction ? <==== ATTENTION
2018-07-07 03:49 - 2018-07-07 03:49 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html
2018-07-07 03:49 - 2018-07-07 03:49 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_back_files.html
2018-07-07 03:48 - 2018-07-07 03:48 - 000005152 _____ C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html
2018-07-07 03:48 - 2018-07-07 03:48 - 000005152 _____ C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_back_files.html
2018-07-07 02:06 - 2018-07-07 02:06 - 000005152 _____ C:\Program Files\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Local\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\Default\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\Documents\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\Desktop\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Downloads\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Documents\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Desktop\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Program Files (x86)\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Все пользователи\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\AppData\Local\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Documents\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Documents\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Downloads\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Documents\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Desktop\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\ProgramData\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\how_to_back_files.html
2018-07-07 02:06 - 2018-07-07 02:06 - 000005152 _____ () C:\Program Files\how_to_back_files.html
2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ () C:\Program Files (x86)\how_to_back_files.html
2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ () C:\Users\umnik\AppData\Local\how_to_back_files.html
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Шифровальщик

Рекомендуемые сообщения

fgu662018

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

fgu662018

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum