Шифровальщик

[Deadman]

У коллеги на работе есть проблема. Говорит, что шифровальщик.

CollectionLog-2018.09.19-08.51.zip

[Sandor]

Здравствуйте!

 

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.

[Deadman]

Обновили

CollectionLog-2018.09.19-10.05.zip

[Zverev]

Вот логи с новой версии

CollectionLog-2018.09.19-10.05.zip

Изменено 19 сентября, 2018 пользователем Zverev

[Sandor]

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Расшифровки этого типа вымогателя нет. Будет только очистка следов.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\WINCC_SERVICE\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Windows\System32\bild.exe', '');
 DeleteFile('C:\Users\WINCC_SERVICE\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Windows\System32\bild.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'bild.exe', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\WINCC_SERVICE\AppData\Roaming\Info.hta', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\bild.exe', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Zverev]

Новый лог

CollectionLog-2018.09.19-11.01.zip

[Sandor]

Как понимаю, вы - тот самый коллега, верно?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Zverev]

Правильно коллега))) или колека

Вот фаилы

И да сообщение вымогателя пропало после скриптов AVZ

Addition.txt

FRST.txt

[Sandor]

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Это сделали? Если да, ждем ссылку.

 

Далее:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
  Startup: C:\Users\WINCC_SERVICE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-09-19] ()
  2018-09-19 02:13 - 2018-09-19 06:34 - 000000218 _____ C:\FILES ENCRYPTED.txt
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

[Zverev]

в какой кодировке создать Fixlist UTF-8 c bom или нет

Вот fixlog

Fixlog.txt

[Sandor]

Фикс достаточно было запустить один раз.

 

Это сделали? Если да, ждем ссылку

Не ответили.

[Zverev]

Отправлено Сегодня, 10:39

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Я только что это сделал ждем

[Sandor]

Хорошо.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

До окончания разбора не удаляйте папку C:\Frst

[Zverev]

Уважаемый пользователь! Благодарим Вас за использование сервиса VirusDetector! 

Антивирусная онлайн-проверка вашей системы завершена. Архив с карантином (MD5: 79D8F5B7690132C80657DE3FD405F73F) был успешно обработан системой CyberHelper.

Ознакомиться с подробными результатами анализа можно по следующим ссылкам:

 

Результаты проверки онлайн-сервисом VirusDetector » 

Обсуждение результатов проверки » 

 

Вы получили данное письмо, так как Ваш email был указан в форме загрузки карантина сервиса VirusDetector.

Это информационное письмо, отвечать на него не нужно. 

 

С уважением,

VirusDetector

https://virusinfo.info/scan/ 

 

 

Это сделали AVZ 4

 

Еще жду обработку с AVZ5

Анализ завершен

Анализ карантина успешно завершен
Результаты анализа доступны по ссылке
Краткая статистика:
Общее количество файлов:42, в том числе:
безопасные:0
вредоносные:0
подозрительные:0

На дешифратор надежды нет?(((

[Sandor]

Я выше писал:

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Там ответят точно.