Дешифровкой файлов [btckeys@aol.com].2020

[Rolan]

Добрый день, вчера вирус зашифровал весь компьютер, сменив расширение файлов на следующее: .id-E4B727E9.[btckeys@aol.com].2020

Само тело вируса выцепить удалось, файл типа - info.hta

Помогите дешифровать файлы, на компьютере был установлен kaspersky endpoint security для windows

CollectionLog-2020.04.09-17.36.zip

[Sandor]

Здравствуйте!

 

Это Crusis, расшифровки нет.

 

Само тело вируса выцепить удалось, файл типа - info.hta

Это не вирус, а требование выкупа. Сам вымогатель пока активен.

 

на компьютере был установлен kaspersky endpoint security

Однако по логам виден Kaspersky Internet Security 19

 

Был взлом RDP, ручное отключение антивируса и запуск вредоноса.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\winhost.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\winhost.exe', '');
 QuarantineFile('c:\windows\system32\winhost.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe', '64');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\winhost.exe', '');
 DeleteFile('c:\windows\system32\winhost.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Rolan]

Ответ от лаборатории Касперского еще не поступил

CollectionLog-2020.04.10-14.09.zip

[Sandor]

Почему-то повторный лог вы собрали из терминальной сессии. Нужно всё выполнять непосредственно на самом компьютере.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Rolan]

Сервер находится на удаленке и никого не было на месте чтобы собрать лог локально.

Addition.txt

FRST.txt

[Sandor]

никого не было на месте чтобы собрать лог локально

Вероятно по этой же причине отчет FRST.txt неполный. Переделайте, пожалуйста.

[Rolan]

Переделали

Addition.txt

FRST.txt

CollectionLog-2020.04.12-13.32.zip

[Sandor]

Admin (S-1-5-21-391305812-4182494987-1207967297-1000 - Administrator - Enabled)

ASP.IISS (S-1-5-21-391305812-4182494987-1207967297-1012 - Administrator - Enabled)

buh03 (S-1-5-21-391305812-4182494987-1207967297-1017 - Administrator - Enabled) => C:\Users\buh03

buh05 (S-1-5-21-391305812-4182494987-1207967297-1019 - Administrator - Enabled) => C:\Users\buh05

Марсель (S-1-5-21-391305812-4182494987-1207967297-1014 - Administrator - Enabled)

Администраторы все ваши? Если есть лишние, отключите или удалите.

 

Далее:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [winhost.exe] => C:\Windows\System32\winhost.exe [94720 2020-04-11] () [File not signed]
  HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [7207 2020-04-11] () [File not signed]
  HKLM\...\Run: [%appdata%\Info.hta] => mshta.exe "%appdata%\Info.hta"
  GroupPolicy\User: Restriction ? <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1011\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1010\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1009\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1008\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1007\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1006\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1005\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1004\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1003\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1002\User: Restriction <==== ATTENTION
  2020-04-02 04:26 - 2020-04-11 02:00 - 000094720 _____ C:\Windows\system32\winhost.exe
  2020-04-02 04:26 - 2020-03-25 09:11 - 000094720 _____ C:\Users\buh05\Documents\winhost.exe
  FirewallRules: [{41EFD8AC-F80A-4B79-B465-3FC047CB31EA}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
  FirewallRules: [{AF62160C-0A95-49B7-88F9-BBD68982030A}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
  FirewallRules: [{ED542DB2-DE1B-4592-8451-F6403EBFBA96}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
  FirewallRules: [{75949A9F-F547-4B19-A14B-2E8C2E91A5A9}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
  FirewallRules: [{8CC38C05-0376-4016-B3AB-4831A8E467B5}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
  FirewallRules: [{B805D97D-B879-487E-B5D4-CF7BA4464F6E}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено 12 апреля, 2020 пользователем Sandor

[Rolan]

После перезагрузки файл зашифровался, но так как файл открылся до зашифровки его содержимое извлечь удалось. Админов всех выкинул.

Fixlog.txt

[Sandor]

Посмотрим ещё такой лог:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[Rolan]

Программа  AutorunsVTchecker за секунду сообщает что все объекты автозапуска были проверены

SERVERSPORT_2020-04-12_19-49-09_v4.1.8.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
  ;Target OS: NTv6.1
  v400c
  BREG
  ;---------command-block---------
  bl C5B758DAE5430D81816D56793E0910E4 7207
  zoo %SystemRoot%\SYSWOW64\%APPDATA%\INFO.HTA
  delall %SystemRoot%\SYSWOW64\%APPDATA%\INFO.HTA
  zoo %Sys32%\INFO.HTA
  delall %Sys32%\INFO.HTA
  zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
  delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
  apply
  
  zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
  bl A75CACC856827260166C52093A40F49B 94720
  addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Ransom.Win32.Crusis.to [Kaspersky] 7
  
  zoo %Sys32%\WINHOST.EXE
  zoo %SystemDrive%\USERS\BUH05\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
  chklst
  delvir
  
  czoo
  restart
  
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.

[Rolan]

Всё, винда не заводится.

[Sandor]

??

Подробнее, пожалуйста.

[Rolan]

Доходит до авторизации пользователя, и снова выкидывает из системы, при попытке авторизоваться.

Простите, но у меня возник вопрос. Мы пытаемся излечить ОС или медленно подбираемся к расшифровке файлов?