ransom.shade UDS:DangerousObject.Multi.Generic или Trojan-Ransom.Win32.Shade.ozm

[serega_123]

Добрый день!

По почте пришло письмо с архивом, внутри которого находился файл "Газпромбанк Заказ 02-11.js".

Знакомый пользователь его запустил и почти сразу обратился ко мне с подозрением на вирус.

Удалось быстро выключить компьютер (через 5 минут после запуска вредоносного кода).

 

Ручной анализ файла показал, что это даунлоадер, который качает файл "sserv.jpg" с одного из двух адресов:

aquakleanz.com/wp-content/blogs.dir/sserv.jpg

votebrycerobertson.com/wp-includes/ID3/sserv.jpg

Сохраняет его во временную папку Windows и запускает как исполняемый файл (вроде-бы без ключей, просто в скрытом режиме).

 

Свойства файла говорят о том, что это на самом деле EXE, который раньше назывался gniscan.exe и имеет описание как Global Network Inventory Scanner производства Magneto Software. Подозреваю, что это маскировка.

 

Проверка этого файла на virusdesk.kaspersky.ru в пятницу давала классификацию UDS:DangerousObject.Multi.Generic. Сегодня - дает классификацию Trojan-Ransom.Win32.Shade.ozm

 

После запуска компьютера в безопасном режиме пользователь сохранил личные файлы на внешний диск и снова передал компьютер мне. Я также продолжал работу в безопасном режиме. Провел очистку временных файлов штатными средствами Windows и утилитой CCleaner. Просмотрел файлы пользователя и не нашел добавленных расширений, как это бывает после работы вирусов-шифровальщиков.

 

В автозапуске тоже вроде бы ничего не нашел, но могу ошибаться.

KVRT и DrWeb ничего не нашли.

 

AutoLogger также запускал из безопасного режима, логи прилагаю.

Также прилагаю файлы вируса, пароль 123

 

Прошу проверить, не осталось ли следов вируса и, если это возможно - уточнить, что же он на самом деле делает, если не шифрует.

 

Спасибо!

 

CollectionLog-2018.11.06-10.54.zip

Изменено 6 ноября, 2018 пользователем regist
вирусы прикреплять запрещено

[regist]

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[serega_123]

Malwarebytes' Anti-Malware Также запускал в безопасном режиме.

Лог прилагаю.

Можно ли загружать комп в нормальном режиме и нужно ли повторить эти сканирования там?

На всякий случай прилагаю так же лог Farbar Recovery Scan Tool

файлы FRST.txt и Addition.txt

scan.txt

FRST.txt

Addition.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Найденное в MBAM можно удалить (поместить в карантин).

 

Дополнительно из обычного режима:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[serega_123]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Найденное в MBAM можно удалить (поместить в карантин).

 

Это мусор от мейл ру. Тут он вроде ни при чем. Но удалил.

 

Сделал новые логи MBAM, UVS, AutoLogger и FRST из нормального режима запуска Windows, прилагаю.

AdwCleaner также прилагаю.

 

Очень похоже, что тело вируса все-таки было запущено, т.к. ноутбук усиленно шуршал в тот момент, когда мне его принесли. Что же этот вирус делал? Никак не узнать?

Я бегло глянул в процессы, ничего подозрительного не увидел и поспешил перезагрузиться в безопасный режим, чтобы хоть какие-то файлы спасти, если это шифровальщик... Но зашифрованных файлов на диске не вижу.

 

Может отправить куда-то файлы вируса, чтобы там в песочнице погоняли? Вроде бы это относительно новая модификация, скомпилировано 2 ноября. И regist только сегодня на вирустотале его отметил )

Addition.txt

AdwCleanerS01.txt

CollectionLog-2018.11.06-16.31.zip

FRST.txt

HP-NATALI_2018-11-06_16-11-15_v4.1.1.7z

scan.txt

[Sandor]

Активного заражения не видно.

 

Может отправить куда-то файлы вируса

Можно сюда - https://virusdesk.kaspersky.ru/

[serega_123]

 

Можно сюда - https://virusdesk.kaspersky.ru/

 

это проверялка - просто есть вирус или нет... я думал есть место, где его препарируют и опишут, что именно он делает

 

Спасибо за помощь!

[thyrex]

Ну вот может потому и не сработал, как шифратор, что работаете из безопасного режима.

 

https://www.hybrid-analysis.com/sample/6f3e3171a41348c8fea6d57af9cbde88cc47010d605793c70348ed22d0c97481/5bdc7ee27ca3e15f63150107

[regist]

@serega_123, чисто у вас. Вирус видно самоудалился при перезагрузке.

Но раз уж собрали столько логов, то для очистки мусора

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\CISCO\CISCO EAP-FAST MODULE\CISCOEAPFAST.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\CISCO\CISCO LEAP MODULE\CISCOEAPLEAP.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\CISCO\CISCO PEAP MODULE\CISCOEAPPEAP.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.127.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.51.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.57.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.59.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.75.1\PSMACHINE.DLL
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
   delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   apply
   
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
   

 

MBAM деинсталируйте.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.


 

[serega_123]

https://www.hybrid-analysis.com/sample/6f3e3171a41348c8fea6d57af9cbde88cc47010d605793c70348ed22d0c97481/5bdc7ee27ca3e15f63150107

Классный ресурс, спасибо!

 

Всем спасибо за помощь!