Шифровальщик [surprise666@rape.lol].adobe

19 ноября, 2018

Доброго времени суток. Прошу помощи в расшифровке. Что это за зараза мне не понятно, нигде информации не нашел.

Источником заражения стал пользовательский компьютер, на нем скушано всё. От документов, до экзешников...

Вторым компьютером стал сервер, не весь, а только сетевая папка обмена. В ней имеется важная информация.

На сервере стоит Касперский (лицензия имеется).

Прикрепляю логи с компьютеров:

1. Пользователя CollectionLog-2018.11.19-11.35.zip

2. Сервера CollectionLog-2018.11.18-22.46.zip

Также прикрепляю один зашифрованный файл в архиве:

Виктория.xlsx.id-EC0ACD8B.surprise666@rape.lol.rar

Последние установленные программы на пользовательском компьютере, возможно одна из них стала источником заражения:

OIbit Unlocker (издатель - OIbit)

Process Hacker 2.39 (r124) (издатель - wj32)

Seed4.Me VPN 1.0.41 (издатель - Seed4.me)

Clip2net, версия 2.3.3.316 (издатель - Clip2net)

VKPro 2.0 2.1.9 (издатель - VkPromouter)

Пользователь сообщил что установил только программу выделенную жирным.

Всю дальнейшую информацию готов предоставить по запросу. Заранее благодарен !

Изменено 19 ноября, 2018 пользователем Portick

19 ноября, 2018

Здравствуйте!

На сервере стоит Касперский (лицензия имеется).

Создайте запрос на расшифровку.

Тут поможем только очистить следы. Но работаем по принципу - один компьютер, одна тема.

Здесь продолжаем по первому комплекту, для второго создайте новую тему.

Перечисленные программы, если не нужны, деинсталлируйте.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\1sql.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\1sql.exe', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1sql.exe', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1sql.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\admin\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 19 ноября, 2018 пользователем Sandor

Шифровальщик [surprise666@rape.lol].adobe

Рекомендуемые сообщения

Portick

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum