Шифровальщик [surprise666@rape.lol].adobe

[Portick]

Доброго времени суток. Прошу помощи в расшифровке. Что это за зараза мне не понятно, нигде информации не нашел.

Источником заражения стал пользовательский компьютер, на нем скушано всё. От документов, до экзешников...

Вторым компьютером стал сервер, не весь, а только сетевая папка обмена. В ней имеется важная информация.

На сервере стоит Касперский (лицензия имеется).

Прикрепляю логи с компьютеров:

1. Пользователя CollectionLog-2018.11.19-11.35.zip

2. Сервера CollectionLog-2018.11.18-22.46.zip

 

Также прикрепляю один зашифрованный файл в архиве:

 

Виктория.xlsx.id-EC0ACD8B.surprise666@rape.lol.rar

 

Последние установленные программы на пользовательском компьютере, возможно одна из них стала источником заражения:

OIbit Unlocker (издатель - OIbit)

Process Hacker 2.39 (r124) (издатель - wj32)

Seed4.Me VPN 1.0.41 (издатель - Seed4.me)

Clip2net, версия 2.3.3.316 (издатель - Clip2net)

VKPro 2.0 2.1.9 (издатель - VkPromouter)

 

Пользователь сообщил что установил только программу выделенную жирным.

 

Всю дальнейшую информацию готов предоставить по запросу. Заранее благодарен !

Изменено 19 ноября, 2018 пользователем Portick

[Sandor]

Здравствуйте!

 

На сервере стоит Касперский (лицензия имеется).

Создайте запрос на расшифровку.

 

Тут поможем только очистить следы. Но работаем по принципу - один компьютер, одна тема.

Здесь продолжаем по первому комплекту, для второго создайте новую тему.

 

Перечисленные программы, если не нужны, деинсталлируйте.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\1sql.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\1sql.exe', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1sql.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\admin\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 19 ноября, 2018 пользователем Sandor