crylock 1.9.0.0 [РАСШИФРОВАНО] [coronovirus@protonmail.com].[39464A9E-1F0D9BFE] зашифровал все файлы на сервере.

[no0tzz]

Вредоносный файл, если он у Вас еще сохранился, выложите на https://sendspace.com в архиве с паролем virus и пришлите ссылку на скачивание мне в ЛС

 

Добрый день, аналогичная проблема [coronovirus@protonmail.com].[39464A9E-1F0D9BFE] зашифровал все файлы на сервере.

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

[no0tzz]

Логи и письмо во всех папках.

CollectionLog-2020.04.05-19.13.zip

how_to_decrypt.rar

Изменено 5 апреля, 2020 пользователем no0tzz

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[no0tzz]

Сделал FRST.txt и Addition.txt в архиве.

FRST.rar

[thyrex]

Логи сделаны на машине, ставшей источником шифрования? В логах не видно ни одного примера пострадавших файлов.

[no0tzz]

Логи сделаны на машине, ставшей источником шифрования? В логах не видно ни одного примера пострадавших файлов.

Да, файлы пострадали только на диске D

[thyrex]

Значит, только на этом диске находилась ценная информация. 

 

На данный момент ситуация печальная - версия шифратора самая новая, расшифровки нет, и трудно сказать, появится ли вообще.

[no0tzz]

Нашел ПК с которого началось шифрование. Подозреваю, что этот процесс шифрует. Проситься на запуск каждые 10 сек.

svchap.rar

[thyrex]

Да, это шифратор. Но большому счету это ничего не меняет в плане расшифровки.

[no0tzz]

Сделал на самой машине

FRST.rar

CollectionLog-2020.04.06-11.24.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Альберт\AppData\Local\Temp\csrss\lsa64install.exe','');
 QuarantineFile('C:\Users\Альберт\AppData\Local\Temp\csrss\scheduled.exe','');
 QuarantineFile('C:\Users\Альберт\AppData\Roaming\12d6b7873f5f\12d6b7873f5f.exe','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 SetServiceStart('WinmonProcessMonitor', 4);
 DeleteService('WinmonProcessMonitor');
 SetServiceStart('WinmonFS', 4);
 DeleteService('WinmonFS');
 SetServiceStart('Winmon', 4);
 DeleteService('Winmon');
 QuarantineFile('C:\Windows\system32\drivers\pfnfd_1_10_0_9.sys','');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 TerminateProcessByName('c:\users\Альберт\appdata\local\temp\svchap.exe');
 QuarantineFile('c:\users\Альберт\appdata\local\temp\svchap.exe','');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\users\Альберт\appdata\local\temp\svchap.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\how_to_decrypt.hta','64');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\12d6b7873f5f\12d6b7873f5f.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFE','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFEhta','x32');
 DeleteFile('C:\Users\48C4~1\AppData\Local\Temp\how_to_decrypt.hta','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFE','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFEhta','x64');
 DeleteFile('C:\Users\48C4~1\AppData\Local\Temp\how_to_decrypt.hta','64');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteFile('C:\Users\Альберт\AppData\Local\Temp\csrss\scheduled.exe','64');
 DeleteSchedulerTask('lsa64');
 DeleteFile('C:\Users\Альберт\AppData\Local\Temp\csrss\lsa64install.exe','64');
 DeleteSchedulerTask('csrss');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end. 

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[no0tzz]

Залил

CollectionLog-2020.04.06-13.56.zip

Изменено 6 апреля, 2020 пользователем no0tzz

[thyrex]

А новые логи где?

[no0tzz]

А новые логи где?

Сообщением выше

[thyrex]

Новые логи FRST на этой машине тоже сделайте.