Шифровальщик Combo (bitpandacom@qq.com)

[valerawww]

Здравствуйте, обнаружился у нас в сети шивровальщик Combo. Успели его отловить пока он не зашифровал все, но многое постарадало(( Сам exe-шник нашли. Прикрепляю к письму отчет от сборщика логов, с машины на которой он был, собственно сам шифровальщик combo_encryptor_exec.zip, архив с несколькими зашифрованными файлами и их не зашифрованными оригиналами crypted_and_original.zip, а также 3 файла в которых записана цифра 1 в текстовом виде и более ничего, далее они прогнаны через шифровальщик crypted_1.zip. Может из всей этой информации получится добыть информацию по дешифрованию. Спасибо.

CollectionLog-2018.10.09-04.19.zip

crypted_and_original.zip

crypted_1.zip

[SQ]

Здравствуйте,

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\valerik\AppData\Roaming\Info.hta','');
 QuarantineFile('C:\Users\vladimir\AppData\Roaming\Info.hta','');
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Windows\System32\1Esset.exe','');
 QuarantineFile('C:\Users\valerik\AppData\Roaming\1Esset.exe','');
 QuarantineFile('C:\Users\valerik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\Users\valerik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Esset.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Esset.exe','');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Esset.exe','64');
 DeleteFile('C:\Users\valerik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Esset.exe','64');
 DeleteFile('C:\Users\valerik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\valerik\AppData\Roaming\1Esset.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1Esset.exe','x32');
 DeleteFile('C:\Windows\System32\1Esset.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1Esset.exe','x64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 DeleteFile('C:\Users\vladimir\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\vladimir\AppData\Roaming\Info.hta','x64');
 DeleteFile('C:\Users\valerik\AppData\Roaming\1Esset.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1Esset.exe','x64');
 DeleteFile('C:\Users\valerik\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\valerik\AppData\Roaming\Info.hta','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

 

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[valerawww]

Ссылку на запрос карантина вверху темы не обнаружил, может не там смотрел, напишите пожалуйста поподробней где искать. Остальные файли прикрепляю.

FRST.txt

Addition.txt

Изменено 9 октября, 2018 пользователем valerawww

[valerawww]

К сожалению так и не могу найти ссылку "Прислать запрошенный карантин", чтобы прислать файл карантина, что делать?

[regist]

 

 

К сожалению так и не могу найти ссылку "Прислать запрошенный карантин", чтобы прислать файл карантина, что делать?

загрузите через данную форму.

[valerawww]

Спасибо, загрузил.

Файл сохранён как 181009_115737_quarantine_5bbc97b1359b0.zip Размер файла 5633369 MD5 e5dff1f0c13f2ffd53cac72b94080ad2

[SQ]

К сожалению так и не могу найти ссылку "Прислать запрошенный карантин", чтобы прислать файл карантина, что делать?

Прошу прощения я ошибся шаблоном на отправку карантина. Вам уже отправлил через какую форму отправлять необходимо.

[valerawww]

 

К сожалению так и не могу найти ссылку "Прислать запрошенный карантин", чтобы прислать файл карантина, что делать?

Прошу прощения я ошибся шаблоном на отправку карантина. Вам уже отправлил через какую форму отправлять необходимо.

 

Спасибо, я отправил

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-10-08] ()
  Startup: C:\Users\vladimir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Esset.exe [2018-10-08] ()
  Startup: C:\Users\vladimir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-10-08] ()
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  HKU\S-1-5-21-1815782392-2992566804-3912763174-1105\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll [No File]
  FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [No File]
  File: C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.22\AsSysCtrlService.exe
  File: C:\Windows\system32\hserver.exe
  File: C:\Program Files (x86)\AFLICS\AfterFLICS.exe
  File: C:\Windows\SysWOW64\Drivers\vdmymjew.sys
  Folder: C:\Program Files (x86)\jklSof
  2018-10-08 13:07 - 2018-10-08 13:07 - 001413120 _____ C:\Users\vladimir\AppData\Roaming\1Esset.exe
  Folder: C:\Users\GhostAdmin\ansel
  Folder: C:\Users\vera\ansel
  CustomCLSID: HKU\S-1-5-21-1815782392-2992566804-3912763174-1105_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File
  CustomCLSID: HKU\S-1-5-21-1815782392-2992566804-3912763174-1105_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File
  CustomCLSID: HKU\S-1-5-21-1815782392-2992566804-3912763174-1105_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File
  ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
  ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => D:\WinRAR\rarext.dll -> No File
  ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => D:\WinRAR\rarext32.dll -> No File
  ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
  ContextMenuHandlers6: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
  ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => D:\WinRAR\rarext.dll -> No File
  ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => D:\WinRAR\rarext32.dll -> No File
  HKLM\...\StartupApproved\StartupFolder: => "1Esset.exe"
  HKLM\...\StartupApproved\Run: => "1Esset.exe"
  HKU\S-1-5-21-1815782392-2992566804-3912763174-1105\...\StartupApproved\StartupFolder: => "1Esset.exe"
  HKU\S-1-5-21-1815782392-2992566804-3912763174-1105\...\StartupApproved\Run: => "1Esset.exe"
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[valerawww]

Готово

Fixlog.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[valerawww]

Готово

A20_2018-10-09_22-36-04_v4.0.23.7z

[SQ]

Выполните скрипт в uVS:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
delref AMMYYADMIN_F18\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
restart

В логах вредоносного ПО более не найдено.

[valerawww]

Здорово ) а дештфровать файлы-то сможем? ))

[SQ]

Нашими силами к сожалению нет. Пробуйте создать запрос в ЛК согласно следующей инструкции:
https://forum.kasperskyclub.ru/index.php?showtopic=48525