Шифровальщик UPD

[dim.allen]

Добрый день, подвергся вирусной атаке от шифровальщика вымогателя, расширение файлов стало UPS-3ac81e5c579d2566

Уважаемые гуру форума прошу подсказать что можно сделать с данной проблемой?

CollectionLog-2019.02.22-10.42.zip

Изменено 22 февраля, 2019 пользователем dim.allen

[Sandor]

Здравствуйте!

 

Смените пароли на RDP.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Windows\IME\dwintl_x64.exe', '');
 QuarantineFile('C:\Windows\IME\svc.cmd', '');
 QuarantineFile('C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

[dim.allen]

Сменить пароли RPD сейчас нет возможности, файлы управляющей утилиты тоже зашифрованы.

 

Результат выполнения скрипта

Ошибка карантина файла, попытка прямого чтения (C:\Windows\IME\dwintl_x64.exe)

 Карантин с использованием прямого чтения - ОК

Файл успешно помещен в карантин (C:\Windows\IME\dwintl_x64.exe)

Ошибка карантина файла, попытка прямого чтения (C:\Windows\IME\svc.cmd)

 Карантин с использованием прямого чтения - ОК

Файл успешно помещен в карантин (C:\Windows\IME\svc.cmd)

Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe)

 Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe)

 Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe)

 Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe)

 Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe)

 Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe)

 Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe)

 Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe)

 Карантин с использованием прямого чтения - ошибка

Создание архива с файлами из карантина

Создание архива с файлами из карантина завершено

 

 

Здравствуйте!

Смените пароли на RDP.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
 QuarantineFile('C:\Windows\IME\dwintl_x64.exe', '');
 QuarantineFile('C:\Windows\IME\svc.cmd', '');
 QuarantineFile('C:\Windows\Inf\smdriver\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Windows\Inf\wmiservice\0010\0011\000E\000A\0015\services.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Изменено 22 февраля, 2019 пользователем dim.allen

[Sandor]

1. Не цитируйте полностью предыдущее сообщение, используйте форму быстрого ответа внизу.

2. Карантин отправили? Ждем ответ вирлаба.

[dim.allen]

Понял " по цитированию" . Да отправил, жду ответ

[KLAN-9655581534]

 

1. Не цитируйте полностью предыдущее сообщение, используйте форму быстрого ответа внизу.
2. Карантин отправили? Ждем ответ вирлаба.

Изменено 22 февраля, 2019 пользователем dim.allen

[Sandor]

Сам ответ ещё процитируйте, пожалуйста.

[dim.allen]

Ответ Лаборатории  [KLAN-9655581534]

Сам ответ ещё процитируйте, пожалуйста.

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
dwintl_x64.exe
svc.cmd

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[dim.allen]

Прикрепил файлы созданные в FarBar

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Шифровальщик don't worry ransomware если эта информация поможет!

 

Текст прилагаю для тех кто возможно будет в такой ситуации:

Вся Ваша информация на этом компьютере была зашифрована.

Для расшифровки Вам нужно выполнить несложные действия:

------------------------------------------------------------

1. Скачайте по ссылке тор-браузер, установите его:

 https://www.torproject.org/download/download-easy.html

2. Откройте тор-браузер, перейдите по адресу и зарегистрируйте себе e-mail:

 http://torbox3uiot6wchz.onion/signup-en.php

3. Войдите в почтовый ящик:

 http://torbox3uiot6wchz.onion/sm/

4. Напишите письмо на e-mail:

 e-mail: ups@torbox3uiot6wchz.onion

 Укажите в письме Ваш код для разблокировки: 39327476

5. Ждите ответ.

------------------------------------------------------------

Учтите, что письма с обычных email - мы не получим, кроме тех, которые есть в этом списке:

 http://torbox3uiot6wchz.onion/relay-en.php

FRST.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\beeline1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\beeline2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\buh2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\bulit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\cg1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\cg2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\IAlina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\megafon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\megafon2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\mts\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\nc1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\nc2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\nc3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\nc4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\nc5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\operator1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\operator2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\revizor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\sklad1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\sklad2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\USR1СV82\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\Антонина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\Директор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  Startup: C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2019-02-22] ()
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

 

Один из файлов Dont_Worry.txt вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

[dim.allen]

Я правильно понял вставить текст в окно search?

 

Fixlog.txt

[Sandor]

Нет, вставлять никуда не нужно. Но и переделывать не нужно, скрипт выполнился.

Жду

Один из файлов Dont_Worry.txt вместе с парой зашифрованных документов упакуйте в архив и прикрепите

[dim.allen]

от меня ждете файла? или ответ от других?

Нет, вставлять никуда не нужно. Но и переделывать не нужно, скрипт выполнился.
Жду

Один из файлов Dont_Worry.txt вместе с парой зашифрованных документов упакуйте в архив и прикрепите

 

[Sandor]

Конечно от вас. В этой теме других нет

[dim.allen]

Я в прошлом сообщение прикрепил fixlog, дублирую файл, сервер перегрузился изменений нет

Конечно от вас. В этой теме других нет

 

Fixlog.txt