.id-06309B78.[Harmahelp73@gmx.de].harma

[Sampti]

Здравствуйте!
Поймал вирус-шифровальщик, наверняка через rdp. Прошу помощи в расшифровке файлов!

 

Изменено 5 сентября, 2019 пользователем Sampti

[Sandor]

Здравствуйте!

 

Расшифровки скорее всего нет. Если нужна помощь в очистке от вируса и его следов, выполните Порядок оформления запроса о помощи

[Sampti]

Странно, при создании темы прикреплял логи...
Вот

CollectionLog-2019.09.05-12.39.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\rdp\downloads\e5m99s_payload.exe');
 StopService('KProcessHacker3');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('c:\users\rdp\downloads\e5m99s_payload.exe', '');
 QuarantineFile('C:\Users\rdp\Downloads\processhacker-2.39-bin\x64\kprocesshacker.sys', '');
 QuarantineFile('C:\Windows\System32\E5M99S_payload.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('c:\users\rdp\downloads\e5m99s_payload.exe', '32');
 DeleteFile('C:\Users\rdp\Downloads\processhacker-2.39-bin\x64\kprocesshacker.sys', '64');
 DeleteFile('C:\Windows\System32\E5M99S_payload.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('KProcessHacker3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\rdp\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', 'x64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 5 сентября, 2019 пользователем Sandor

[Sampti]

KLAN-10985726291

 

 

CollectionLog-2019.09.05-15.08.zip

Изменено 5 сентября, 2019 пользователем Sampti

[Sandor]

KLAN-10985726291

Сам ответ (словами) тоже сообщите, пожалуйста.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Sampti]

 

KLAN-10985726291

Сам ответ (словами) тоже сообщите, пожалуйста.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы и ссылки были проверены в автоматическом режиме В следующих файлах обнаружен вредоносный код: E5M99S_payload.exe - Trojan-Ransom.Win32.Crusis.to E5M99S_payload_0.exe - Trojan-Ransom.Win32.Crusis.to e5m99s_payload.exe - Trojan-Ransom.Win32.Crusis.to E5M99S_payload_1.exe - Trojan-Ransom.Win32.Crusis.to В антивирусных базах информация по присланным вами файлам отсутствует: Info.hta Info_0.hta Info_1.hta Info_2.hta В антивирусных базах информация по присланным вами ссылкам отсутствует: hxxps://forum[.]kasperskyclub[.]ru/index.php?showtopic=63639&hl= Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 Прикрепляю результат сканирования

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2019-09-05 13:46 - 2019-09-05 13:46 - 000094720 _____ C:\Users\rdp\AppData\Roaming\E5M99S_payload.exe
  2019-09-04 20:16 - 2019-09-05 13:47 - 000000230 _____ C:\Users\rdp\Desktop\FILES ENCRYPTED.txt
  2019-09-04 20:16 - 2019-09-04 20:16 - 000000230 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
  2019-09-04 20:16 - 2019-09-04 20:16 - 000000230 _____ C:\FILES ENCRYPTED.txt
  2019-09-04 19:44 - 2019-09-04 20:02 - 000000000 ____D C:\Users\rdp\AppData\Roaming\Process Hacker 2
  2019-09-04 19:40 - 2019-09-04 20:14 - 000000000 ____D C:\Users\rdp\Downloads\processhacker-2.39-bin
  swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Sampti]

Прикрепил
Про расшифровку стоит забыть? Или есть надежда?

Fixlog.txt

Изменено 5 сентября, 2019 пользователем Sampti

[Sandor]

Маловероятно.

 

Смените пароли на RDP.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Sampti]

Прикрепил

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.19155 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления

K-Lite Codec Pack 13.1.0 Full v.13.1.0 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.4.44498 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u221-windows-x64.exe)^

Java 8 Update 144 v.8.0.1440.1 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u221-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.25.0.0.134 Внимание! Скачать обновления

Adobe Shockwave Player 12.2 v.12.2.8.198 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

swMSM v.12.0.0.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

 

 

Читайте Рекомендации после удаления вредоносного ПО

[Sampti]

После обновления и удаления нежелательных и устаревших программ процесс лечения завершен?

[Sandor]

Да.