Шифровальщик Cryakl email-tapok@tuta.io.ver-CL 1.5.1.0

[Irina_A]

Добрый день!

На сервер по RDP подключились злоумышленники и подбросили шифровальщик, который переименовал все файлы по формату: email-tapok@tuta.io.ver-CL 1.5.1.0.id-4197083558-763892348894120995217197.fname-Инструкция.txt.doubleoffset

 

Прошу помочь с поиском дешифратора.

 

Увидела у Вас тему с похожей версией шифровальщика https://forum.kasperskyclub.ru/index.php?showtopic=61674

Изменено 3 февраля, 2019 пользователем Irina_A

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Irina_A]

Прошу прощения, файл не загрузился

CollectionLog-2019.02.03-14.57.zip

[regist]

архив не полный, попробуйте ещё раз собрать логи.

и антивируса там как понимаю нет вообще? Тогда понятно почему эта система судя по логам уже не первый раз подвергается заражению.

[Irina_A]

Да, антивируса не было.

Посмотрите, пожалуйста, эти логи

CollectionLog-2019.02.03-15.08.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\nginx\start.cmd', '');
 QuarantineFile('C:\Users\Ирина\AppData\Local\Hostinstaller\4197083558_monster.exe', '');
 QuarantineFile('C:\Users\Ирина\AppData\Local\SystemMonitor2016\4197083558.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{34a9de73-8119-4710-8938-8d3ebf75d78f}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64.sys', '');
 QuarantineFile('H:\autolot\3_month_stats_backup\get_stats.bat', '');
 QuarantineFileF('c:\users\ирина\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\ирина\appdata\local\systemmonitor2016', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteSchedulerTask('Soft installer');
 DeleteSchedulerTask('SystemMonitor2016');
 DeleteFile('C:\Users\Ирина\AppData\Local\Hostinstaller\4197083558_monster.exe', '64');
 DeleteFile('C:\Users\Ирина\AppData\Local\SystemMonitor2016\4197083558.exe', '64');
 DeleteFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{34a9de73-8119-4710-8938-8d3ebf75d78f}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}w64.sys', '64');
 DeleteFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64.sys', '64');
 DeleteService('{00aec75d-051f-41a9-9837-e94ac4f56303}w64');
 DeleteService('{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64');
 DeleteService('{1a038c3f-e306-4162-a1e4-c6cec9d10811}w64');
 DeleteService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64');
 DeleteService('{21abe523-36e2-4dad-9e0e-8fe9f0be1916}w64');
 DeleteService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}w64');
 DeleteService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}w64');
 DeleteService('{34a9de73-8119-4710-8938-8d3ebf75d78f}w64');
 DeleteService('{3b808196-ff63-49ee-b33b-efdf51723eca}w64');
 DeleteService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64');
 DeleteService('{4096aedf-3f28-4c8e-aebe-00255138fa8a}w64');
 DeleteService('{4530e639-76ab-4435-889d-a5e81ae090a4}w64');
 DeleteService('{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64');
 DeleteService('{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64');
 DeleteService('{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}w64');
 DeleteService('{733fb217-c049-41ba-9504-3f2045e61977}w64');
 DeleteService('{84e24724-32a5-4ef8-b981-cc669543b4a4}w64');
 DeleteService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}w64');
 DeleteService('{949aba83-1d7f-4d0b-b0ba-203450825231}w64');
 DeleteService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}w64');
 DeleteService('{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}w64');
 DeleteService('{d1c4c3bc-6b77-4033-9c86-e72fcf769bbe}w64');
 DeleteService('{db1293a0-85fd-418d-b0d6-c79faa7c8ace}w64');
 DeleteService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64');
 DeleteService('{fce396ae-d8d1-4789-946e-2106fbe4292b}w64');
 DeleteService('{fd600559-a688-4110-b9b9-0f1a9beae8ae}w64');
 DeleteFileMask('c:\users\ирина\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('c:\users\ирина\appdata\local\systemmonitor2016', '*', false);
 DeleteDirectory('c:\users\ирина\appdata\local\hostinstaller');
 DeleteDirectory('c:\users\ирина\appdata\local\systemmonitor2016');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Irina_A]

Добрый день!

 

KLAN-9551634557

В антивирусных базах информация по присланным вами файлам отсутствует:

start.cmd
get_stats.bat
System.Data.SQLite.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2019.02.04-15.45.zip

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Irina_A]

Посмотрите, пожалуйста

AdwCleanerS00.txt

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Irina_A]

Получилось два файла

AdwCleanerC01.txt

AdwCleanerS01.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Irina_A]

Посмотрите, пожалуйста файлы

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  2019-02-01 06:53 - 2019-02-01 06:53 - 000088576 _____ () C:\Users\pavel.WIN-V0UC5QOCQPU\AppData\Local\Temp\VWXZACDEFG.exe
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  MSCONFIG\startupreg: 3757891 => 3757891
  MSCONFIG\startupreg: 4197083558 => C:\Users\PAVEL~1.WIN\AppData\Local\Temp\2\FFGHIJJKLL.exe
  MSCONFIG\startupreg: mpck_en_005030281 => 
  MSCONFIG\startupreg: rec_ru_237 => 
  MSCONFIG\startupreg: win_en_77 => 
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

[Irina_A]

Готово

Fixlog.txt