Прошу помощи в расшифровке [veracrypt@foxmail.com].adobe

[axont]

Недавно поймали шифровальщик [veracrypt@foxmail.com].adobe. Когда зашел на компьютер в диспетчере задач выполнялся файл vera.exe, который (как выяснилось потом) начал шифровать файлы по сети. Данный файл был запущен через автозагрузку, так же злоумышленник на зараженном компьютере отключил антивирус и теневые копии. Файл vera.exe есть в наличии , при необходимости могу выслать. Так же прилагаю зашифрованный файл.

CollectionLog-2019.04.25-12.57.zip

autoexec.bat.id-46A4626B.veracrypt@foxmail.com.zip

[Sandor]

Здравствуйте!

 

Увы, расшифровки этого типа вымогателя нет.

Файл vera.exe есть в наличии

Не поможет.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFile('C:\Windows\System32\vera.exe', '');
 QuarantineFile('C:\Windows\TEMP\KAVREM~1\398125~1\exec\setup.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Windows\System32\Info.hta', '32');
 DeleteFile('C:\Windows\System32\vera.exe', '32');
 DeleteFile('C:\Windows\TEMP\KAVREM~1\398125~1\exec\setup.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vera.exe', 'x32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 25 апреля, 2019 пользователем Sandor

[axont]

Сделал как описано в вашем сообщении. Архив quarantine.zip пуст, поэтому письмо не отправлял.

CollectionLog-2019.04.25-15.54.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[axont]

Я это сделал до того как написать вам, эти файлы уменя сохранились их и высылаю.

FRST.txt

Addition.txt

[Sandor]

Переделайте, нужны те, что после скрипта AVZ.

[axont]

Переделал

FRST.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-03-28] () [File not signed]
  GroupPolicy: Restriction ? <==== ATTENTION
  CHR HKU\S-1-5-21-1721866094-564990494-3593694446-2850\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  HKU\S-1-5-21-1721866094-564990494-3593694446-2850\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[axont]

Сделал

Fixlog.txt

[Sandor]

Ярлыки запуска программ придется пересоздать вручную.

 

Смените важные пароли.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[axont]

Готово

SecurityCheck.txt

[Sandor]

Kaspersky Endpoint Security 10 для Windows v.10.2.4.674 - обновите до актуальной 11-й версии.

 

------------------------------- [ Windows ] -------------------------------

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

PuTTY version 0.63 v.0.63 Внимание! Скачать обновления

TeamViewer 9 v.9.0.41110 Внимание! Скачать обновления

WinRAR 4.00 бета 3 (32-разрядная) v.4.00.3 Внимание! Скачать обновления

WinSCP 5.1.3 v.5.1.3 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.50901.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 7 Update 25 v.7.0.250 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u211-windows-i586.exe).

Java SE Development Kit 7 Update 25 v.1.7.0.250 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u211-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 24 ActiveX v.24.0.0.194 Внимание! Скачать обновления

Adobe Flash Player 24 NPAPI v.24.0.0.194 Внимание! Скачать обновления

Adobe Acrobat Reader DC MUI v.15.006.30097 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 50.0.2 (x86 ru) v.50.0.2 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

 

 

Рекомендации после удаления вредоносного ПО