[РЕШЕНО] Вирус шифровальщик [veracrypt@foxmail.com].adobe

24 июня, 2019

Добрый день.

Поймали шифровальщик, который зашифровал файлы на сетевых дисках и некоторые папки на сервере, доступные пользователю. С какой точно станции был запущен шифровальщик неизвестно. Часть файлов удалось восстановить из удаленных. Возможно ли как-то расшифровать файлы. Логи со станций и сервера во вложении.

Спасибо.

CollectionLog-2019.06.24-15.48-Server.zip

CollectionLog-2019.06.19-10.08-Recep2.zip

CollectionLog-2019.06.17-14.08-FOM.zip

CollectionLog-2019.06.17-13.48-Recep3.zip

CollectionLog-2019.06.17-13.35-Recep1.zip

24 июня, 2019

Здравствуйте.

Сервер наверняка и стал источником шифрования. Скрипт написан по логам сервера. Сразу предупреждаю: расшифровки нет.

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\BofExp\AppData\Roaming\AppLaunch.exe','');
 TerminateProcessByName('c:\users\bofexp\music\ns.exe..exe');
 QuarantineFile('c:\users\bofexp\music\ns.exe..exe','');
 TerminateProcessByName('c:\users\bofexp\desktop\lock.exe');
 QuarantineFile('c:\users\bofexp\desktop\lock.exe','');
 DeleteFile('c:\users\bofexp\desktop\lock.exe','32');
 DeleteFile('c:\users\bofexp\music\ns.exe..exe','32');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','InstallPath','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','AppLaunch.exe','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','InstallPath','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','AppLaunch.exe','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3042789340-2140123958-3761101792-1009\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\BofExp\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Users\BofExp\AppData\Local\Ubisoft\wahiver.exe','64');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\AppLaunch.exe','64');
 DeleteFile('C:\Users\BofExp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppLaunch.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

25 июня, 2019

Добрый день.

Спасибо!

Результат загрузки

Файл сохранён как 190625_115551_quarantine_5d120bc76fc2e.zip

Размер файла 50067

MD5 33e3df70747f6d00918690dd8b3f1915

Файл закачан, спасибо!

Логи во вложении

CollectionLog-2019.06.25-16.45.zip

25 июня, 2019

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

26 июня, 2019

Добрый день

Во вложении

Desktop.zip

Изменено 26 июня, 2019 пользователем SAnt

26 июня, 2019

Логи в порядке.

Больше помочь нечем.

26 июня, 2019

Спасибо!

26 июня, 2019

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

[РЕШЕНО] Вирус шифровальщик [veracrypt@foxmail.com].adobe

Рекомендуемые сообщения

SAnt

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

SAnt

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

SAnt

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

SAnt

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum