cryakl Просьба помочь с шифровальщиком tapok@tuta.io.ver-CL 1.5.1.0 doubleoffset

24 января, 2019

Зловред пролез вероятно по РДП, подобрав пасс от доменной учетки.

Зашифровал файлы на виртуалке, куда смог пролезть, и на NAS-сервере, в каталогах где был доступ.

В закрепе лог АВЗ, и архив с файлами зловреда и примерами зашифрованых файлов (пасс на архив aes-123)

Будем рады любой помощи, возможно адекватное материальное вознаграждение за успешную дешифровку.

CollectionLog-2019.01.24-10.16.zip

tapok.zip

24 января, 2019

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe');
 QuarantineFile('C:\APPS\BOGDAN-VM01\alice_warmup.ps1', '');
 QuarantineFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '32');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

"Пофиксите" в HijackThis:

O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

24 января, 2019

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe');
 QuarantineFile('C:\APPS\BOGDAN-VM01\alice_warmup.ps1', '');
 QuarantineFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('c:\users\nb602~1.mas\appdata\local\temp\rlewrjdewo.exe', '');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '32');
 DeleteFile('C:\Users\NB602~1.MAS\AppData\Local\Temp\RLEWRJDEWO.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1050919941', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

После перезагрузки, выполните такой скрипт:
begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

"Пофиксите" в HijackThis:
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

Добрый день!

при попытке выполнения скрипта вылетает ошибка (скрин в прикрепленных файлах)

24 января, 2019

1. Не цитируйте, пожалуйста, всю переписку. Используйте форму быстрого ответа внизу.

2. AVZ следует использовать эту - C:\rescue\AutoLogger-test\AutoLogger\AVZ\avz.exe

24 января, 2019

Спасибо, я понял.

вот KLAN-9497990221

и свежий лог в прикрепленных.

CollectionLog-2019.01.24-13.31.zip

24 января, 2019

Номер KLAN вы сообщили, а полученный ответ - нет.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

24 января, 2019

Извиняюсь.

Логи FarBar прикрепил,

и вот ответ из письма с KLAN.

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
rlewrjdewo.exe - Trojan-Ransom.Win32.Agent.autp

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

Addition.txt

FRST.txt

24 января, 2019

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [1095281] => 1095281
Task: {50BF920D-8A24-45EA-BBD4-D91CCF43EC37} - System32\Tasks\SystemDiagnostics => C:\Users\n.maslov\AppData\Roaming\Microsoft\Licenses\conhost.exe
AlternateDataStreams: C:\Users\Public\DRM:وهو يتحرك [48]
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

24 января, 2019

Выполнил

Fixlog.txt

24 января, 2019

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Смените важные пароли и проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

24 января, 2019

Спасибо!

В запрос посоветуете прикрепить какие-либо файлы, или специалисты техподдержки сами запросят необходимое?

24 января, 2019

Прикрепите пару зашифрованных, записку readme и укажите ссылку на эту тему.

24 января, 2019

Благодарю

cryakl Просьба помочь с шифровальщиком tapok@tuta.io.ver-CL 1.5.1.0 doubleoffset

Рекомендуемые сообщения

IvanVasil

Sandor

IvanVasil

Sandor

IvanVasil

Sandor

IvanVasil

Sandor

IvanVasil

Sandor

IvanVasil

Sandor

IvanVasil

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum