вирус шифровальщик

[revision 0]

Добрый день!

 

в очередной день придя на работу обнаружил, что все файлы на компьютере были зашифрованы и имели имена типа завод.png.[proof3200@tutanota.com] , так же в каждом каталоге появился файл how_to_back_files от вымогателей.

 

прошу вас помочь расшифровать данные.

 

спасибо большое в заранее!

CollectionLog-2019.01.22-17.07.zip

[regist 618]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\Fonts\corss.exe', '');
 QuarantineFile('C:\Windows\Fonts\svchost.exe', '');
 DeleteFile('C:\Windows\Fonts\corss.exe', '');
 DeleteFile('C:\Windows\Fonts\corss.exe', '64');
 DeleteFile('C:\Windows\Fonts\svchost.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\Defrag\ScheduledDefrageres');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O20-32 - HKLM\..\Winlogon\Notify\itcwlnp: [DllName] = i t c w l n p . d l l    (file missing)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[revision 0]

Добрый день!

 

ответ :

KLAN-9489309584

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:

corss.exe

В следующих файлах обнаружен вредоносный код:

svchost.exe - HEUR:Trojan.Win64.Miner.gen

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

 

CollectionLog-2019.01.22-18.15.zip

Изменено 22 января, 2019 пользователем revision

[regist 618]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1) Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\corss.exe', '');
 QuarantineFile('C:\Windows\Fonts\svchost.exe', '');
 DeleteFile('C:\Windows\corss.exe');
 DeleteFile('C:\Windows\Fonts\svchost.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\Autochk\ScheduledDefrageres');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2) "Пофиксите" в HijackThis:

O20-32 - HKLM\..\Winlogon\Notify\ScCertProp  : [DllName] = (no file)

3) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

4) При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[revision 0]

добрый день!

 

прикрепляю лог файл после проделанных выше действий

CollectionLog-2019.01.23-09.37.zip

[regist 618]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[revision 0]

добрый день!

 

прикрепляю лог

RECLAMA_2019-01-23_12-49-18_v4.1.2.7z

[regist 618]

На рабочем столе, что это за файл у вас лежит?

C:\USERS\ADM\DESKTOP\1.EXE

похоже это и есть шифратор.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1.2 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %SystemDrive%\USERS\ADM\DESKTOP\1.EXE
   ;---------command-block---------
   zoo %SystemDrive%\USERS\O5D1B~1.KIR\APPDATA\LOCAL\TEMP\CHROME_BITS_3820_803\4925_ALL_CRL-SET-11885562120577065068.DATA.CRX3
   delall %SystemDrive%\USERS\O5D1B~1.KIR\APPDATA\LOCAL\TEMP\CHROME_BITS_3820_803\4925_ALL_CRL-SET-11885562120577065068.DATA.CRX3
   delref %SystemDrive%\USERS\O.KIREEVA\APPDATA\LOCAL\DROPBOX\UPDATE\DROPBOXUPDATE.EXE
   delref %SystemDrive%\USERS\O.KIREEVA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.141.1\DROPBOXUPDATEONDEMAND.EXE
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEONDEMAND.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\NPGOOGLEUPDATE3.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
   delref %SystemDrive%\USERS\O.KIREEVA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.127.1\PSUSER.DLL
   delref %SystemDrive%\USERS\O.KIREEVA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.141.1\PSUSER.DLL
   delref %SystemDrive%\USERS\O.KIREEVA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.37\PSUSER.DLL
   delref %SystemDrive%\USERS\O.KIREEVA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
   delref %SystemDrive%\USERS\O.KIREEVA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
   delref %SystemDrive%\USERS\O.KIREEVA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.59.1\PSUSER.DLL
   delref %SystemDrive%\USERS\O.KIREEVA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.75.1\PSUSER.DLL
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
   delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\60.0.3112.90\INSTALLER\CHRMSTP.EXE
   bl 64DC1B16CF2BEF668447A0CDF5278239 8285184
   zoo %SystemRoot%\FONTS\SVCHOST.EXE
   delall %SystemRoot%\FONTS\SVCHOST.EXE
   bl 9D8EE9E14D690FE70E90F87923D147A5 57344
   delall %SystemDrive%\USERS\ADM\DESKTOP\1.EXE
   apply
   
   ; Java(TM) 6 Update 22
   exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

после этого сделайте свежий лог автозапуска.

[revision 0]

Результат загрузки:

revision, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2019.01.23_ZOO_2019-01-23_14-03-14_10a61ccd9a8c84b1f26a00ab06a91d07.7z

RECLAMA_2019-01-23_14-15-10_v4.1.2.7z

Изменено 23 января, 2019 пользователем revision

[regist 618]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

 

+ Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[revision 0]

спасибо большое!

 

а каковы шансы на успешную расшифровку всех данных?

[regist 618]

 

 

а каковы шансы на успешную расшифровку всех данных?

думаю маленькие, но лучше уточняйте у тех. поддержки.