Сегодня также попались на шифровальщика

[Norcoman]

Добрый день. сегодня также попались на шифровальщика. Что можно предпринять?

 

Сообщение от модератора thyrex

Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60944

CollectionLog-2018.11.08-16.38.zip

HOW TO RECOVER ENCRYPTED FILES.TXT

FRST+Addition.zip

авансовый отчет НОВЫЙ.xls.crab7765@gmx.de.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\services.exe');
 QuarantineFile('C:\Windows\Fonts\AsdS.cmd', '');
 QuarantineFile('C:\Windows\Fonts\checker.bat', '');
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\del.bat', '');
 QuarantineFile('C:\Windows\Fonts\sqlservr.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdate.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\updaters.exe', '');
 QuarantineFile('C:\Windows\Fonts\zqw.bat', '');
 QuarantineFile('c:\windows\services.exe', '');
 DeleteFile('C:\Windows\Fonts\AsdS.cmd', '64');
 DeleteFile('C:\Windows\Fonts\checker.bat', '64');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\del.bat', '64');
 DeleteFile('C:\Windows\Fonts\sqlservr.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdate.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\updaters.exe', '');
 DeleteFile('C:\Windows\Fonts\zqw.bat');
 DeleteFile('C:\Windows\Fonts\zqw.bat', '64');
 DeleteFile('C:\Windows\services.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\SetUpd');
 DeleteSchedulerTask('Microsoft\Windows\SideShow\AutoRestart');
 DeleteSchedulerTask('Microsoft\Windows\TMP\TMP-Health');
 DeleteSchedulerTask('Microsoft\Windows\WDI\WDICache');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Norcoman]

ссылка на вирусинфо  https://virusinfo.info/virusdetector/report.php?md5=28DCF4DFF15D8676E4D067434AFD7E18

 

Могу выполнить с интернетом скрипт в АВЗ.

у меня доступ по RDP. инет не отключить.

 

при выполнении скрипта выпадает ошибка

Ошибка: Undeclared identifier: "DeleteSchedulerTask" в позиции 28:21

Изменено 8 ноября, 2018 пользователем Norcoman

[regist]

 

 

при выполнении скрипта выпадает ошибка Ошибка: Undeclared identifier: "DeleteSchedulerTask" в позиции 28:21

в скрипте ошибок нет, а следовательно вы делаете что-то не по инструкции.

[thyrex]

Скорее всего скачали AVZ другой версии, а не той, что в составе Autologger 

[Norcoman]

именно тот что в составе автологера, версия AVZ - 4.46 

на всякий случай можно получить актуальную ссылку на автологера с авз?

 

инструкция предельно понятна. Только интернет не выдернуть. Доступ только по РДП

 

а нет запустился, сейчас продолжу по инструкции выше

Изменено 8 ноября, 2018 пользователем Norcoman

[thyrex]

Тот, что в составе Autologger, имеет другую версию - 5.11.

[Norcoman]

Ответ с лаборатории № KLAN-9077327449

 

 

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
checker.bat - UDS:DangerousObject.Multi.Generic

В следующих файлах обнаружен вредоносный код:
del.bat - Trojan.BAT.Taskkill.ab

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
services.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.juwe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=60954&st=0&p=904476

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

CollectionLog-2018.11.08-20.58.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\services.exe');
 QuarantineFile('C:\Windows\Fonts\checker.bat', '');
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\del.bat', '');
 QuarantineFile('C:\Windows\Fonts\sqlservr.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdate.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 QuarantineFile('C:\Windows\Fonts\updaters.exe', '');
 QuarantineFile('C:\Windows\Fonts\zqw.bat', '');
 QuarantineFile('c:\windows\services.exe', '');
 DeleteFile('C:\Windows\Fonts\checker.bat', '64');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\del.bat', '64');
 DeleteFile('C:\Windows\Fonts\sqlservr.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdate.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\sqlwupdater.exe', '');
 DeleteFile('C:\Windows\Fonts\updaters.exe', '');
 DeleteFile('C:\Windows\Fonts\zqw.bat', '64');
 DeleteFile('C:\Windows\services.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\SetUpd');
 DeleteSchedulerTask('Microsoft\Windows\SideShow\AutoRestart');
 DeleteSchedulerTask('Microsoft\Windows\TMP\TMP-Health');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[Norcoman]

Выполнил

KLAN-9077594274

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
checker.bat - UDS:DangerousObject.Multi.Generic

В следующих файлах обнаружен вредоносный код:
del.bat - Trojan.BAT.Taskkill.ab

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
services.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.juwe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=60954&p=904480

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

 

SQL1_2018-11-08_22-07-02_v4.1.7z

Изменено 8 ноября, 2018 пользователем regist
карантин прикреплять к сообщению запрещено

[regist]

карантин к сообщению прикреплять запрещено.

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   BREG
   ;---------command-block---------
   delref HTTP://QM7GMTAAGEJOLDDT.ONION.TO/WIN/CNEW.HTA
   delref HTTP://107.181.187.132/WIN/CNEW.HTA
   delref HTTP://EU1.MINERPOOL.PW/WIN/CNEW.HTA
   delref HTTP://RES1.MYRMS.PW/WIN/NUPD.HTA
   zoo %SystemDrive%\USERS\7EEA~1.LIF\APPDATA\LOCAL\TEMP\CHROME_BITS_25192_28560\4805_ALL_CRL-SET-3531803140445806645.DATA.CRX3
   delall %SystemDrive%\USERS\7EEA~1.LIF\APPDATA\LOCAL\TEMP\CHROME_BITS_25192_28560\4805_ALL_CRL-SET-3531803140445806645.DATA.CRX3
   bl E5BF8BABCD70385184D3CCF464718431 942080
   zoo %SystemRoot%\SERVICES.EXE
   delall %SystemRoot%\SERVICES.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
   bl 7BCB3CA5369C5C6065A49D4E20CE4095 2469
   zoo %SystemRoot%\FONTS\CHECKER.BAT
   delall %SystemRoot%\FONTS\CHECKER.BAT
   bl E448B20C7227FFA8F558562D72998F3F 32837
   zoo %SystemRoot%\FONTS\DEL.BAT
   delall %SystemRoot%\FONTS\DEL.BAT
   zoo %SystemRoot%\FONTS\ZQW.BAT
   delall %SystemRoot%\FONTS\ZQW.BAT
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref HTTPS://QM7GMTAAGEJOLDDT.ONION.TO/WIN/CNEW.HTA
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

сделайте свежий образ автозапуска.
 

[Norcoman]

Выполнено

свежий образ автозапуска

SQL1_2018-11-08_23-28-23_v4.1.7z

Изменено 8 ноября, 2018 пользователем Norcoman

[regist]

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

у вас там помимо шифрования был активный майнер. Что с этой проблемой сейчас?

По поводу шифрования при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

 

Изменено 8 ноября, 2018 пользователем regist

[Norcoman]

Да майнера видел, пытался вылечиться с помощью CurentIt и Касперским Virus Removal Tool до обращения не помогло.  Сейчас KVRT угроз не обнаружил.

В hijack таких строчек не обнаружено.

HiJackThis.zip

[regist]

 

 

В hijack таких строчек не обнаружено.

тогда для надёжности продублирую скриптом uVS

;uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
regt 35
restart

и на всякий случай свежий лог uVS сделайте.

+ обновления windows советую установить,