Rolan 0 Опубликовано 9 апреля, 2020 Share Опубликовано 9 апреля, 2020 Добрый день, вчера вирус зашифровал весь компьютер, сменив расширение файлов на следующее: .id-E4B727E9.[btckeys@aol.com].2020 Само тело вируса выцепить удалось, файл типа - info.hta Помогите дешифровать файлы, на компьютере был установлен kaspersky endpoint security для windows CollectionLog-2020.04.09-17.36.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 апреля, 2020 Share Опубликовано 9 апреля, 2020 Здравствуйте! Это Crusis, расшифровки нет. Само тело вируса выцепить удалось, файл типа - info.htaЭто не вирус, а требование выкупа. Сам вымогатель пока активен. на компьютере был установлен kaspersky endpoint securityОднако по логам виден Kaspersky Internet Security 19 Был взлом RDP, ручное отключение антивируса и запуск вредоноса. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\system32\winhost.exe'); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe', ''); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\winhost.exe', ''); QuarantineFile('c:\windows\system32\winhost.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe', '64'); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\winhost.exe', ''); DeleteFile('c:\windows\system32\winhost.exe', '32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
Rolan 0 Опубликовано 10 апреля, 2020 Автор Share Опубликовано 10 апреля, 2020 Ответ от лаборатории Касперского еще не поступил CollectionLog-2020.04.10-14.09.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 апреля, 2020 Share Опубликовано 10 апреля, 2020 Почему-то повторный лог вы собрали из терминальной сессии. Нужно всё выполнять непосредственно на самом компьютере. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Rolan 0 Опубликовано 10 апреля, 2020 Автор Share Опубликовано 10 апреля, 2020 Сервер находится на удаленке и никого не было на месте чтобы собрать лог локально. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 11 апреля, 2020 Share Опубликовано 11 апреля, 2020 никого не было на месте чтобы собрать лог локальноВероятно по этой же причине отчет FRST.txt неполный. Переделайте, пожалуйста. Ссылка на сообщение Поделиться на другие сайты
Rolan 0 Опубликовано 12 апреля, 2020 Автор Share Опубликовано 12 апреля, 2020 Переделали Addition.txt FRST.txt CollectionLog-2020.04.12-13.32.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 12 апреля, 2020 Share Опубликовано 12 апреля, 2020 (изменено) Admin (S-1-5-21-391305812-4182494987-1207967297-1000 - Administrator - Enabled) ASP.IISS (S-1-5-21-391305812-4182494987-1207967297-1012 - Administrator - Enabled) buh03 (S-1-5-21-391305812-4182494987-1207967297-1017 - Administrator - Enabled) => C:\Users\buh03 buh05 (S-1-5-21-391305812-4182494987-1207967297-1019 - Administrator - Enabled) => C:\Users\buh05 Марсель (S-1-5-21-391305812-4182494987-1207967297-1014 - Administrator - Enabled) Администраторы все ваши? Если есть лишние, отключите или удалите. Далее: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [winhost.exe] => C:\Windows\System32\winhost.exe [94720 2020-04-11] () [File not signed] HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [7207 2020-04-11] () [File not signed] HKLM\...\Run: [%appdata%\Info.hta] => mshta.exe "%appdata%\Info.hta" GroupPolicy\User: Restriction ? <==== ATTENTION GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1011\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1010\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1009\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1008\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1007\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1006\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1005\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1004\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1003\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-391305812-4182494987-1207967297-1002\User: Restriction <==== ATTENTION 2020-04-02 04:26 - 2020-04-11 02:00 - 000094720 _____ C:\Windows\system32\winhost.exe 2020-04-02 04:26 - 2020-03-25 09:11 - 000094720 _____ C:\Users\buh05\Documents\winhost.exe FirewallRules: [{41EFD8AC-F80A-4B79-B465-3FC047CB31EA}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File FirewallRules: [{AF62160C-0A95-49B7-88F9-BBD68982030A}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File FirewallRules: [{ED542DB2-DE1B-4592-8451-F6403EBFBA96}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File FirewallRules: [{75949A9F-F547-4B19-A14B-2E8C2E91A5A9}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File FirewallRules: [{8CC38C05-0376-4016-B3AB-4831A8E467B5}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File FirewallRules: [{B805D97D-B879-487E-B5D4-CF7BA4464F6E}] => (Allow) C:\Users\Admin\Desktop\AnyDesk.exe No File Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Изменено 12 апреля, 2020 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
Rolan 0 Опубликовано 12 апреля, 2020 Автор Share Опубликовано 12 апреля, 2020 После перезагрузки файл зашифровался, но так как файл открылся до зашифровки его содержимое извлечь удалось. Админов всех выкинул. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 12 апреля, 2020 Share Опубликовано 12 апреля, 2020 Посмотрим ещё такой лог: Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. Ссылка на сообщение Поделиться на другие сайты
Rolan 0 Опубликовано 12 апреля, 2020 Автор Share Опубликовано 12 апреля, 2020 Программа AutorunsVTchecker за секунду сообщает что все объекты автозапуска были проверены SERVERSPORT_2020-04-12_19-49-09_v4.1.8.7z Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 12 апреля, 2020 Share Опубликовано 12 апреля, 2020 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.1.7 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- bl C5B758DAE5430D81816D56793E0910E4 7207 zoo %SystemRoot%\SYSWOW64\%APPDATA%\INFO.HTA delall %SystemRoot%\SYSWOW64\%APPDATA%\INFO.HTA zoo %Sys32%\INFO.HTA delall %Sys32%\INFO.HTA zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA apply zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE bl A75CACC856827260166C52093A40F49B 94720 addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Ransom.Win32.Crusis.to [Kaspersky] 7 zoo %Sys32%\WINHOST.EXE zoo %SystemDrive%\USERS\BUH05\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE chklst delvir czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Rolan 0 Опубликовано 12 апреля, 2020 Автор Share Опубликовано 12 апреля, 2020 Всё, винда не заводится. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 12 апреля, 2020 Share Опубликовано 12 апреля, 2020 ?? Подробнее, пожалуйста. Ссылка на сообщение Поделиться на другие сайты
Rolan 0 Опубликовано 12 апреля, 2020 Автор Share Опубликовано 12 апреля, 2020 Доходит до авторизации пользователя, и снова выкидывает из системы, при попытке авторизоваться. Простите, но у меня возник вопрос. Мы пытаемся излечить ОС или медленно подбираемся к расшифровке файлов? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения