crysis Дешифровкой файлов [btckeys@aol.com].2020

9 апреля, 2020

Добрый день, вчера вирус зашифровал весь компьютер, сменив расширение файлов на следующее: .id-E4B727E9.[btckeys@aol.com].2020

Само тело вируса выцепить удалось, файл типа - info.hta

Помогите дешифровать файлы, на компьютере был установлен kaspersky endpoint security для windows

CollectionLog-2020.04.09-17.36.zip

9 апреля, 2020

Здравствуйте!

Это Crusis, расшифровки нет.

Само тело вируса выцепить удалось, файл типа - info.hta

Это не вирус, а требование выкупа. Сам вымогатель пока активен.

на компьютере был установлен kaspersky endpoint security

Однако по логам виден Kaspersky Internet Security 19

Был взлом RDP, ручное отключение антивируса и запуск вредоноса.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\winhost.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\winhost.exe', '');
 QuarantineFile('c:\windows\system32\winhost.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe', '64');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\winhost.exe', '');
 DeleteFile('c:\windows\system32\winhost.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

10 апреля, 2020

Ответ от лаборатории Касперского еще не поступил

CollectionLog-2020.04.10-14.09.zip

10 апреля, 2020

Почему-то повторный лог вы собрали из терминальной сессии. Нужно всё выполнять непосредственно на самом компьютере.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

10 апреля, 2020

Сервер находится на удаленке и никого не было на месте чтобы собрать лог локально.

Addition.txt

FRST.txt

11 апреля, 2020

никого не было на месте чтобы собрать лог локально

Вероятно по этой же причине отчет FRST.txt неполный. Переделайте, пожалуйста.

12 апреля, 2020

Переделали

Addition.txt

FRST.txt

CollectionLog-2020.04.12-13.32.zip

12 апреля, 2020

Admin (S-1-5-21-391305812-4182494987-1207967297-1000 - Administrator - Enabled)

ASP.IISS (S-1-5-21-391305812-4182494987-1207967297-1012 - Administrator - Enabled)

buh03 (S-1-5-21-391305812-4182494987-1207967297-1017 - Administrator - Enabled) => C:\Users\buh03

buh05 (S-1-5-21-391305812-4182494987-1207967297-1019 - Administrator - Enabled) => C:\Users\buh05

Марсель (S-1-5-21-391305812-4182494987-1207967297-1014 - Administrator - Enabled)

Администраторы все ваши? Если есть лишние, отключите или удалите.

Далее:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [winhost.exe] => C:\Windows\System32\winhost.exe [94720 2020-04-11] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [7207 2020-04-11] () [File not signed]
HKLM\...\Run: [%appdata%\Info.hta] => mshta.exe "%appdata%\Info.hta"
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1011\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1010\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1009\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1008\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1007\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1006\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1005\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1004\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1002\User: Restriction <==== ATTENTION
2020-04-02 04:26 - 2020-04-11 02:00 - 000094720 _____ C:\Windows\system32\winhost.exe
2020-04-02 04:26 - 2020-03-25 09:11 - 000094720 _____ C:\Users\buh05\Documents\winhost.exe
FirewallRules: [{41EFD8AC-F80A-4B79-B465-3FC047CB31EA}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
FirewallRules: [{AF62160C-0A95-49B7-88F9-BBD68982030A}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
FirewallRules: [{ED542DB2-DE1B-4592-8451-F6403EBFBA96}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
FirewallRules: [{75949A9F-F547-4B19-A14B-2E8C2E91A5A9}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
FirewallRules: [{8CC38C05-0376-4016-B3AB-4831A8E467B5}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
FirewallRules: [{B805D97D-B879-487E-B5D4-CF7BA4464F6E}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 12 апреля, 2020 пользователем Sandor

12 апреля, 2020

После перезагрузки файл зашифровался, но так как файл открылся до зашифровки его содержимое извлечь удалось. Админов всех выкинул.

Fixlog.txt

12 апреля, 2020

Посмотрим ещё такой лог:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

12 апреля, 2020

Программа AutorunsVTchecker за секунду сообщает что все объекты автозапуска были проверены

SERVERSPORT_2020-04-12_19-49-09_v4.1.8.7z

12 апреля, 2020

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
bl C5B758DAE5430D81816D56793E0910E4 7207
zoo %SystemRoot%\SYSWOW64\%APPDATA%\INFO.HTA
delall %SystemRoot%\SYSWOW64\%APPDATA%\INFO.HTA
zoo %Sys32%\INFO.HTA
delall %Sys32%\INFO.HTA
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
apply

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
bl A75CACC856827260166C52093A40F49B 94720
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Ransom.Win32.Crusis.to [Kaspersky] 7

zoo %Sys32%\WINHOST.EXE
zoo %SystemDrive%\USERS\BUH05\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
chklst
delvir

czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.

12 апреля, 2020

Всё, винда не заводится.

12 апреля, 2020

??

Подробнее, пожалуйста.

12 апреля, 2020

Доходит до авторизации пользователя, и снова выкидывает из системы, при попытке авторизоваться.

Простите, но у меня возник вопрос. Мы пытаемся излечить ОС или медленно подбираемся к расшифровке файлов?

crysis Дешифровкой файлов [btckeys@aol.com].2020

Рекомендуемые сообщения

Rolan

Sandor

Rolan

Sandor

Rolan

Sandor

Rolan

Sandor

Rolan

Sandor

Rolan

Sandor

Rolan

Sandor

Rolan

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum