Перейти к содержанию

Дешифровкой файлов [btckeys@aol.com].2020

Rolan
 Поделиться

Рекомендуемые сообщения

Rolan

Rolan

Опубликовано
Опубликовано

Добрый день, вчера вирус зашифровал весь компьютер, сменив расширение файлов на следующее: .id-E4B727E9.[btckeys@aol.com].2020

Само тело вируса выцепить удалось, файл типа - info.hta

Помогите дешифровать файлы, на компьютере был установлен kaspersky endpoint security для windows

CollectionLog-2020.04.09-17.36.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Это Crusis, расшифровки нет.

 

Само тело вируса выцепить удалось, файл типа - info.hta

Это не вирус, а требование выкупа. Сам вымогатель пока активен.

 

на компьютере был установлен kaspersky endpoint security

Однако по логам виден Kaspersky Internet Security 19

 

Был взлом RDP, ручное отключение антивируса и запуск вредоноса.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\winhost.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\winhost.exe', '');
 QuarantineFile('c:\windows\system32\winhost.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe', '64');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\winhost.exe', '');
 DeleteFile('c:\windows\system32\winhost.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Sandor

Sandor

Опубликовано
Опубликовано

Почему-то повторный лог вы собрали из терминальной сессии. Нужно всё выполнять непосредственно на самом компьютере.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

никого не было на месте чтобы собрать лог локально

Вероятно по этой же причине отчет FRST.txt неполный. Переделайте, пожалуйста.
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Admin (S-1-5-21-391305812-4182494987-1207967297-1000 - Administrator - Enabled)

ASP.IISS (S-1-5-21-391305812-4182494987-1207967297-1012 - Administrator - Enabled)

buh03 (S-1-5-21-391305812-4182494987-1207967297-1017 - Administrator - Enabled) => C:\Users\buh03

buh05 (S-1-5-21-391305812-4182494987-1207967297-1019 - Administrator - Enabled) => C:\Users\buh05

Марсель (S-1-5-21-391305812-4182494987-1207967297-1014 - Administrator - Enabled)

Администраторы все ваши? Если есть лишние, отключите или удалите.

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\...\Run: [winhost.exe] => C:\Windows\System32\winhost.exe [94720 2020-04-11] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [7207 2020-04-11] () [File not signed]
HKLM\...\Run: [%appdata%\Info.hta] => mshta.exe "%appdata%\Info.hta"
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1011\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1010\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1009\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1008\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1007\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1006\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1005\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1004\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1002\User: Restriction <==== ATTENTION
2020-04-02 04:26 - 2020-04-11 02:00 - 000094720 _____ C:\Windows\system32\winhost.exe
2020-04-02 04:26 - 2020-03-25 09:11 - 000094720 _____ C:\Users\buh05\Documents\winhost.exe
FirewallRules: [{41EFD8AC-F80A-4B79-B465-3FC047CB31EA}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
FirewallRules: [{AF62160C-0A95-49B7-88F9-BBD68982030A}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
FirewallRules: [{ED542DB2-DE1B-4592-8451-F6403EBFBA96}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
FirewallRules: [{75949A9F-F547-4B19-A14B-2E8C2E91A5A9}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
FirewallRules: [{8CC38C05-0376-4016-B3AB-4831A8E467B5}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
FirewallRules: [{B805D97D-B879-487E-B5D4-CF7BA4464F6E}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Rolan

Rolan

Опубликовано
  • Автор
Опубликовано

После перезагрузки файл зашифровался, но так как файл открылся до зашифровки его содержимое извлечь удалось. Админов всех выкинул.

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Посмотрим ещё такой лог:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Sandor

Sandor

Опубликовано
Опубликовано

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
bl C5B758DAE5430D81816D56793E0910E4 7207
zoo %SystemRoot%\SYSWOW64\%APPDATA%\INFO.HTA
delall %SystemRoot%\SYSWOW64\%APPDATA%\INFO.HTA
zoo %Sys32%\INFO.HTA
delall %Sys32%\INFO.HTA
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
apply

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
bl A75CACC856827260166C52093A40F49B 94720
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Ransom.Win32.Crusis.to [Kaspersky] 7

zoo %Sys32%\WINHOST.EXE
zoo %SystemDrive%\USERS\BUH05\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
chklst
delvir

czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.
Rolan

Rolan

Опубликовано
  • Автор
Опубликовано

Доходит до авторизации пользователя, и снова выкидывает из системы, при попытке авторизоваться.

Простите, но у меня возник вопрос. Мы пытаемся излечить ОС или медленно подбираемся к расшифровке файлов?

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Grecener
      Coronavirus
      Автор Grecener
      Добрый день, случилась такая же беда, что и у Lom1k.
      Помогите пожалуйста чем можно.
      Сделал все как описано ранее, прикладываю фалы, сделано на зараженной машине. 
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. FRST.txt
      Addition.txt
      info.hta.zip
    • eduard777
      возможно ли расшифровать файлы от trojan-ransom.win32.crysis.to?
      Автор eduard777
      Добрый день!
      Подскажите, можно ли расшифровать файлы после trojan-ransom.win32.crysis.to?
      если да, помогите пожалуйста.
      логи прикреплены
      CollectionLog-2020.02.05-21.11.zip
    • mosfod
      HARMA
      Автор mosfod
      Добрый вечер.
      Вирус зашифровал базы 1с и другие файлы. образцы прикрепляю. подскажите что можно сделать.
       
      https://yadi.sk/d/1wXfTa_gfYO7Xg
       
      https://yadi.sk/d/FIgNg_XBDcjCbA
       
      в файле записке написано
       
      all your data has been locked us
      You want to return?
      Write email testfile1@protonmail.com or bitcoins12@tutanota.com

      результат сканирования AutoLogger
      https://yadi.sk/d/IXcarjfPwSxuXw
    • Jordan
      [РЕШЕНО] На Windows 2008 отработал шифровальщик
      Автор Jordan
      Добрый день.
       
      На Windows2008 был подобран пароль и запущен шифровальщик. После шифрования файлы имеют вид [имя файла].id-********.[*******@aol.com].bot
      После обнаружения данной ситуации вирус был найден и удален, но на всякий случай был восстановлен системный раздел из бэкапа.
      Хотелось бы понимать перспективы дешифрации. Спасибо.
      CollectionLog-2019.12.24-19.54.zip
      FRST.zip
    • lex445
      Зашифрованы файлы .harma
      Автор lex445
      Прошу помощи в расшифровке файлов .harma . Сам компьютер почистил . Содержимое файла FILES ENCRYPTED.txt :
      all your data has been locked us
      You want to return?
      Write email maximum@onlinehelp.host
       
      Все фалы переименованы с расширением .id-F07E71A4.[maximum@onlinehelp.host ].harma
       
      Буду очень признателен в помощи.
       
       
      CollectionLog-2019.12.17-19.10.zip
×
×
  • Создать...