Поймал шифратор id-A4D82640.[veracrypt@foxmail.com].adobe

[PavelSorokin]

Добрый день!

20-01-2019 на серверах обнаружил шифратор (id-A4D82640.[veracrypt@foxmail.com].adobe) Вирус распространился по сети (предположительно через сетевое хранилище) повредил клиентские машины. Защифрованы БД sql.

Вирус поразил как машины без АВ Касперский, так и с ним (касперский endpoint security 10.2.2..)

Можно ли расшифровать файлы?

 

спасибо!

CollectionLog-2019.01.20-10.17.zip

Изменено 20 января, 2019 пользователем PavelSorokin

[SQ]

Здравствуйте,

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('C:\temp\winstart_0000000902.exe','');
 DeleteFile('C:\temp\winstart_0000000902.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wstart','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[PavelSorokin]

Файлики прикрепил

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Start::
  CreateRestorePoint:
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKLM\...\Chrome\Extension: [ehkipmcipcejliebomgjmfchgplnbmfm] - <no Path/update_url>
  File: C:\Program Files\MonitorSoftware\monitor.exe
  File: C:\Program Files\MonitorSoftware\wpRMI.exe
  Folder: C:\Users\администратор.AURUM\Desktop\SearchMyFiles
  Folder: C:\Users\администратор.AURUM\AppData\Roaming\NsCpuCNMiner
  Folder: C:\Users\ProgramData
  File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsi6C2C.tmp
  File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsqC1BA.tmp
  File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsu39E8.tmp
  File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsg8E.tmp
  File: C:\Users\администратор.AURUM\AppData\Local\Temp\nsv3EA7.tmp
  File: C:\Users\администратор.AURUM\AppData\Local\d3d9caps.dat
  CustomCLSID: HKU\S-1-5-21-2939584294-4008956381-2783420501-500_Classes\CLSID\{68F469E6-0D31-41FE-A9B6-95ADE76761F1}\InprocServer32 -> C:\Users\администратор.AURUM\AppData\Roaming\Garant-Client\@com\F1Shell.dll => No File
  File: C:\Program Files\Omnicomm\AutocheckSE\start.bat
  File: C:\Windows\TEMP\pdk-SYSTEM\222b2cd286d7221e4a55e436c190dd48.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\50950b5b470c0d52ac0033d613e39f91.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\97a2e6443b947d806decd51d47431523.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\928eff5d1bf763abff3068620c0b86b8.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\ec88994dca352281e37972313e1051d3.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\447fb48712dd486a9cd82c51b98d23f0.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\2ccfaf7bb3a4cf27fd33fe6d3bb6e380.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\41aee7954778794bd4714ea7448138b2.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\28e3b3c92d9d2a4e693dcf4167d15435.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\dad8a2781d545b007729f2cb48fd26bf.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\bd861f3e03052af93272c100d252f5e2.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\0b1a35256e897f33b9748ab0b6d0033d.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\04aaed0c4ab04791dc4e497c377d373b.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\fabb8899d82671db2035759037c5c21d.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\353910329d0410f90709321989f5da58.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\93e87ef6c56dffc312be353e105d2794.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\e45711c2662171c15cd763238e7b579b.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\2f58a67846fe475e0676dbc406a75b68.dll
  File: C:\Windows\TEMP\pdk-SYSTEM\ecefdc6daba859e2c7e17fc15ad129ff.dll
  End::
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

[PavelSorokin]

файл во вложении

Fixlog.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  C:\Users\администратор.AURUM\AppData\Roaming\NsCpuCNMiner
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.
  

Касаемо расшифровки, пробуйте обратиться в тех. поддержку Лаборатории Касперского используя следующую инструкцию:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

[PavelSorokin]

файлик прикрепил.

 

Вобще известны удачные расшифровки данной разновидности шифратора?

 

Заранее спасибо!

Fixlog.txt

[SQ]

К сожалению мне неизвестны удачные случаи расшифровки, касаемо помощи добровольцев на форумах по лечению. Что касается удачных случае посредствам обращения в тех. поддержки Лаборатории Касперского и других вендоров, то лучше уточнять у них, так как каждый случай уникальный,то иногда есть шанс расшифровки. Но опять же никто не может дать не какой гарантии.