Шифровальщик Light_Yagami@tuta.io or Vash_the_Stampede@keemail.me

[it4]

Отправлено 20 Август 2018 - 06:37

Добрый день.

 

На NetGear подняты Общие ресурсы на Томе RAID. 22.10.2018 все файлы в папках приняли зашифрованный вид. 

Зашифровались данные и были преобразованы в файлы без расширения

 

Проверка с помощью kaspersky virus removal tool не дала результатов.

Прикрепляю лог из autologger'а.

 

 

Буду благодарен за любую помощь.

Также, прикрепляю отчеты FRST и README

 

CollectionLog-2018.10.23-02.57.zip

README.zip

FRST.zip

Изменено 23 октября, 2018 пользователем it4

[thyrex]

Это CryptConsole 3. Без ключей, уникальных для каждого компьютера, расшифровать невозможно.

 

Ничего плохого логи не показали.

[it4]

Как нам быть в такой ситуации, чтобы вернуть файлы в первоначальный вид?

[thyrex]

Без обращения к злоумышленникам, увы, никак. Используется безопасный метод генерации ключей, подобрать которые в принципе нереально. Но к ним на свой страх и риск, если решитесь.

[it4]

Добрый день!

 

выкладываю свежие логи из autologgerа.

 

 

Также, прикрепляю отчеты FRST и еще один README

Из последних вложений можно увидеть ПК, с которого прошло шифрование и каким способом?

FRST.zip

README.txt

CollectionLog-2018.10.24-14.54.zip

[thyrex]

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\waspwing.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe

() C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe

() C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\ssms.exe

() C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe

() C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\spoolsv.exe

эти процессы от программы удаленного администрирования Вам врядли известны? 

 

А там и TeamViwer еще, и Radmin...

[it4]

Мы заметили в ленте, что пользователь 

papakarlo

оплатил  требования злоумышленников и провел оплату дешифровщика.

Ситуация и README.txt схожа с нашим

 

Скрин прилагаю

  

 

Стоит ли нам подождать пока появиться дешифратор с ключами по нашей проблеме?

Подозрительно то, что на всех ПК и серверах стоит Касперский Internet Security и он не обнаружил угрозы заражения

[thyrex]

Ключ шифрования уникальный для каждого компьютера и генерируется при работе шифратора, поэтому его дешифратор со встроенным ключом под его случай Вам не подойдет.

 

Лучше бы ответили на вопрос, заданный Вам, а не мониторили похожие темы.

[it4]

 

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\waspwing.exe

() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe

() C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe

() C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\ssms.exe

() C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe

() C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\spoolsv.exe

эти процессы от программы удаленного администрирования Вам врядли известны? 

 

А там и TeamViwer еще, и Radmin...

 

Дaнные процессы нам неизвестны.

 

TeamViewer стоит для запуска вручную, а не службой.

Radmin тоже установлен для настройки самого сервера

 

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe','');
 SetServiceStart('spoolmngservice', 4);
 DeleteService('spoolmngservice');
 SetServiceStart('dbssmgr', 4);
 DeleteService('dbssmgr');
 TerminateProcessByName('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe','');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe','');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe','');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe','');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe','');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe','32');
 DeleteFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe','32');
 DeleteFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[it4]

Ответ загрузки по ссылке https://virusinfo.in...s.php?tid=37678

 

Результат загрузки Файл сохранён как 181026_042948_quarantine_5bd2983c18951.zip Размер файла 3984997 MD5 2ddd0dfb0d119df8a8910b08aa8e36b4 Файл закачан, спасибо!

 

Добавили свежие логи из autologgerа.

CollectionLog-2018.10.26-07.33.zip

[thyrex]

Сделайте новые логи Farbar

[it4]

Логи FRST

Addition.txt

FRST.txt

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
Tcpip\..\Interfaces\{1848D245-94CF-4BD8-A187-19CFF01416BA}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{BCA0E640-22C3-408E-843D-5F5E3462959B}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
Startup: C:\Users\Али\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2018-10-22] ()
2018-10-22 04:55 - 2018-10-22 04:55 - 000001211 _____ C:\Users\Али\AppData\Local\Temp\README.txt
2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Али\README.txt
2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Али\AppData\README.txt
2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Public\README.txt
2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Public\Documents\README.txt
c:\windows\inf\ssmngservice
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную.

[it4]

Отправляю файл fixlog

Fixlog.txt