wncry восстановление

[StVladislav]

Принесли ноут, из объяснения  "лежал несколько лет, включили там вирус" при запуске увидел окно wana decrypt0r 2.0.

Что делал:

- В командной строке от имени администратора "netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"

- Убрал галку в автозагрузке.

- В безопасном режиме удалил скрытую папку в programdata.

- Почистил папку TEMP.

- Просканировал с помощью cureit, нашел два файлика и удалил.

- Просканировал RansomRecovery, не помогло.

- ShadowExplorer файлов восстановления нет.

 

Итого имеем множество зашифрованных файлов wncry.

 

CollectionLog-2018.11.03-15.27.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\cbkummippkp984\tasksche.exe', '');
 DeleteFile('C:\ProgramData\cbkummippkp984\tasksche.exe', '32');
 DeleteService('cbkummippkp984');
 DeleteSchedulerTask('{28422BED-5EBF-4D58-878E-EBC2E71C4E32}');
 DeleteSchedulerTask('{3F813513-A61A-45AA-99E5-68EB64C8F0BD}');
 DeleteSchedulerTask('{48231224-3A5E-4F13-9CF9-B2630A75EBC7}');
 DeleteSchedulerTask('{D0519D2B-50F1-40DD-91E1-46826EAF89BC}');
 DeleteSchedulerTask('{FC894446-2BF2-4D4A-953F-EEE88F2EB72B}');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbkummippkp984', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VkontakteDJ', 'x32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

с рассшифровкой помочь не сможем.

[StVladislav]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\cbkummippkp984\tasksche.exe', '');
 DeleteFile('C:\ProgramData\cbkummippkp984\tasksche.exe', '32');
 DeleteService('cbkummippkp984');
 DeleteSchedulerTask('{28422BED-5EBF-4D58-878E-EBC2E71C4E32}');
 DeleteSchedulerTask('{3F813513-A61A-45AA-99E5-68EB64C8F0BD}');
 DeleteSchedulerTask('{48231224-3A5E-4F13-9CF9-B2630A75EBC7}');
 DeleteSchedulerTask('{D0519D2B-50F1-40DD-91E1-46826EAF89BC}');
 DeleteSchedulerTask('{FC894446-2BF2-4D4A-953F-EEE88F2EB72B}');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbkummippkp984', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VkontakteDJ', 'x32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

с рассшифровкой помочь не сможем.

 

Файл quarantine.zip скинул. KLAN=9221390274, но пришло письмо в ответ "Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем.

Отправил повторно файл архив с архивом с паролем из письма KLAN=9221462675. Ответ аналогичный "аше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный."

 

Повторная диагностика во вложении (месяц неправильный).

CollectionLog-2018.11.04-15.07.zip

Изменено 4 декабря, 2018 пользователем StVladislav

[regist]

1) Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

2) Ask Toolbar, Google Toolbar, Элементы Яндекса - если есть в списке установленных, то деинсталируйте.

 

3) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: {2D755CE4-80C7-4544-A789-E8C116ADC10C} - C:\Users\Ильмир\Downloads\Ашкына гумер (минус).exe (file missing)

 

4)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

[StVladislav]

"архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению."

прикрепил во вложении.

 

"3) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):"

Пофиксил.

 

"Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt."

Файлик во вложении.

AdwCleanerS00.txt

Report.7z

[regist]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[StVladislav]

 

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

AdwCleanerC01.txt

AdwCleanerS01.txt

[regist]

Не надо заниматься оверквотингом. Для быстрого ответа есть поле внизу.

 

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.
  

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[StVladislav]

Спасибо за помощь.