Вирус-шифровальщик excaliburarthur@protonmail.com

9 июля, 2018

Всем доброго времени суток!

Не успел я расшифровать файлы от вируса zeman@tutanota.de (естественно, с помощью специалистов этого форума), как тут же не успел защитить их от нового шифровальщика (кто-то открыл какое-то письмо).

Второй email в сообщении: symbyosis@protonmail.com.

Проверил KVRT - чисто.

Запустил FRST и Autologger - собрал нужные логи.

Также в корне расшаренной папки на другом компьютере среди зашифрованных файлов нашел файл формата .key, которого раньше не было. Правда, ни в какой кодировке он у меня не принял читабельный вид.

Кроме этого, в приложенном архиве зашифрованный файл и readme.txt с PID.

Прошу помощи с расшифровкой.

406.rar

9 июля, 2018

Порядок оформления запроса о помощи

9 июля, 2018

C:\Users\Admin\AppData\Local\Temp\system.exe
C:\Users\Admin\AppData\Local\Temp\system.exe

C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe

+ любой из этих файлов заархивируйте с паролем virus, выложите на sendspace.com и пришлите ссылку на скачивание мне в ЛИЧНЫЕ СООБЩЕНИЯ

9 июля, 2018

Также прикрепляю логи из Autologger'а.

Сразу почему-то не прикрепились.

CollectionLog-2018.07.06-07.49.zip

9 июля, 2018

Присланный архив - это майнер.

А вообще компьютер не первый раз подвергается атаке шифраторов. Значит с элементарной информационной безопасностью совсем беда. Пароль от RDP смените для начала.

В этот раз расшифровки не будет, увы. Подобрать ключ уже невозможно. А там их тем более уже два, в зависимости от размера шифруемого файла.

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe');
 QuarantineFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\system.exe','');
 TerminateProcessByName('C:\Users\Admin\AppData\Local\Temp\system.exe');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\system.exe','32');
 DeleteFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\system.exe','32');
 DeleteFile('C:\Windows\system32\drivers\49170864.sys','64');
 DeleteFile('C:\Windows\system32\drivers\E3A0A32A.sys','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IBGLIBOLIBGLIBO');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','POBELGBMLOBELGB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IBGLEBOLMBGLEBO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

13 июля, 2018

По поводу "Значит с элементарной информационной безопасностью совсем беда." - пароли всех учетных записей и порт для RDP на маршрутизаторе меняются регулярно. За три предыдущие года не было не одного заражения.

Поэтому не надо учить меня делать мою работу. Если сотрудник открывает любые письма без оглядки на безопасность компьютера и локальной сети, я не собираюсь стоять у него за спиной и бить по рукам каждый раз, когда он соберется сделать глупость - это не входит в мои должностные обязанности.

По поводу "В этот раз расшифровки не будет, увы." - какой смысл избавляться от этого вируса, если это ни к чему не приведет?

Получить еле живую операционную систему с кучей зашифрованных файлов.

13 июля, 2018

Заражение через открытие ссылки (или вложения) в данном случае как раз и не было. Если я пишу про RDP, значит, для этого есть основания.

Или может Вы сумеете мне рассказать, как может пропасть с Рабочего стола временный файл с ключами для шифрования при условии, что он не удаляется и не отсылается злодеям?

Даже если он и шифруется, то как по Вашему злодеи его расшифруют не имея ключей, которые генерируются сразу после запуска?

какой смысл избавляться от этого вируса, если это ни к чему не приведет?

Вы в названии раздела, куда обратились, видите фразу "Помощь в расшифровке"?

Вирус-шифровальщик excaliburarthur@protonmail.com

Рекомендуемые сообщения

Monmak25

regist

thyrex

Monmak25

thyrex

Monmak25

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum