[РЕШЕНО] coronovirus@protonmail.com шифровальщик

[ofstd 0]

Всем привет, зашифровалось на сервере две сетевые папки. Вероятно после взаимодействия через тимвивер с пк где они были закреплены.

В каждой папке появился файл how_to_unlock.hta

Логи и примеры зашифрованных файлов прикладываю (уперся в ограничение по размеру, если надо - еще приложу, т.к. в основном большие)

 

Прошу помощи.

И вопрос, по какому принципу действует эта гадость? Если только часть файлов зашифровалась, то остальные позже могу пострадать или как? Расскажите пожалйуста.

CollectionLog-2020.04.30-17.56.zip Зашифрованные файлы разных типов.rar how_to_decrypt.hta

[thyrex 1 145]

1. В архиве не хватает нужных логов, переделывайте.

2. Примеры шифрованных файлов нужно оставить в том формате, которые оказались после работы шифратора.

 

27 минут назад, ofstd сказал:

уперся в ограничение по размеру, если надо - еще приложу, т.к. в основном большие

Примеры выложите на Яндекс диск, например, и тоже пришлите ссылку на их скачивание.

[ofstd 0]

В процессе выяснилось что файлы зашифровались не все подряд, хоть и в каждой папке появился файл "how_to_unlock"

Потому ошибочно были прикреплены выше те файлы.

Но - у некоторых файлов расширения в проводнике не сменились, но они не открываются. При открытии картинки jpg пишет что неподдерживаемый формат. zip и rar архивы не открываются с ошибкой "поврежден или неизвестный формат". Большая часть нужной инфы как раз в архивах.

 

Так же на рабочем столе в гостевой учетке найдено несколько файлов, вероятно закинуты их сети оказались. Их тоже прикладываю.

 

Несколько файлов с точно измененными расширениями - https://cloud.mail.ru/public/4r8U/4to5jV5Jw

Второй битый архиив для примера (в основном они большие) - https://cloud.mail.ru/public/4Sxj/3DheeBrxM

 

найдено на рабочем столе в гостевой учетке.zip CollectionLog-2020.05.01-04.40 вторая попытка.zip Bankoboev битый архив с неизмененным расширением.rar.rar

[thyrex 1 145]

1 час назад, ofstd сказал:

Но - у некоторых файлов расширения в проводнике не сменились, но они не открываются

Весьма сомнительно. Все файлы зашифрованы из-под учетки одного пользователя.

 

12 часов назад, ofstd сказал:

И вопрос, по какому принципу действует эта гадость? Если только часть файлов зашифровалась, то остальные позже могу пострадать или как?

В теле вируса есть огромный список расширений файлов, подлежащих шифрованию.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Гость\AppData\Local\Temp\svcbdd.exe','');
 TerminateProcessByName('c:\users\Гость\appdata\local\temp\svcbdd.exe');
 QuarantineFile('c:\users\Гость\appdata\local\temp\svcbdd.exe','');
 DeleteFile('c:\users\Гость\appdata\local\temp\svcbdd.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BAB','x32');
 DeleteFile('C:\Users\8CED~1\AppData\Local\Temp\how_to_decrypt.hta','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BABhta','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BAB','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3220339397-1789294090-3717201778-501\Software\Microsoft\Windows\CurrentVersion\Run','689BB3A9-E2D42BABhta','x64');
 DeleteFile('C:\Users\8CED~1\AppData\Local\Temp\how_to_decrypt.hta','64');
 DeleteFile('C:\Users\Гость\AppData\Local\Temp\svcbdd.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[ofstd 0]

Результат загрузки:    Файл сохранён как	200501_154015_quarantine_5eac42dfe935a.zip
Размер файла	110285
MD5	6edbbb41ac2ae07c325a2066c0a2ae88

новые логи.zip

[thyrex 1 145]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[ofstd 0]

Результаты

Addition.zip

[thyrex 1 145]

1. Выделите следующий код:

Start::
CreateRestorePoint:
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\ProgramData\how_to_decrypt.hta
2020-04-11 22:39 - 2020-04-11 22:39 - 000006007 _____ C:\ProgramData\Documents\how_to_decrypt.hta
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [160]
AlternateDataStreams: C:\Users\Public\.DS_Store[coronovirus@protonmail.com].[689BB3A9-E2D42BAB]:AFP_AfpInfo [122]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [160]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[ofstd 0]

Результат

Fixlog.txt

[thyrex 1 145]

Расшифрованные файлы https://www.sendspace.com/file/qgzyi2

 

Хочу еще раз заметить, что вызывает сомнение отсутствие изменений в имени файла после шифрования при наличии данных, необходимых для расшифровки, внутри самого файла. Тут скорее была ручная правка пострадавшим файлов в надежде, что они откроются нормально.

[ofstd 0]

16 минут назад, thyrex сказал:

Хочу еще раз заметить, что вызывает сомнение отсутствие изменений в имени файла после шифрования при наличии данных, необходимых для расшифровки, внутри самого файла. Тут скорее была ручная правка пострадавшим файлов в надежде, что они откроются нормально.

 

Вы очень порадовали расшифрованными файлами, не ожидал что так быстро будет хоть какой-то результат!

 

Дело в том, что там несколько терабайт информации и большое количество папок. Не думаю что был кому-то прок переименовывать значительную часть файлов без толку. 

png картинки открываются, а большая часть jpg побились, но видимое расширение родное.

7z архивы изменили расширение, а rar нет.

В основном нужна информация как раз в rar и лежит. Как быть с расшифровкой остального? Помощь с этим могла бы спасти время.

 

И еще вопрос, как быть в данный момент с этими папками? Возможна ли дальнейшая работа зловреда на этом пк теперь?

 

[thyrex 1 145]

2 часа назад, ofstd сказал:

И еще вопрос, как быть в данный момент с этими папками? Возможна ли дальнейшая работа зловреда на этом пк теперь?

Активного вируса в логах нет.  Мы его удалили в сообщении №4.

 

2 часа назад, ofstd сказал:

Не думаю что был кому-то прок переименовывать значительную часть файлов без толку. 

До приведения информации в правильный после работы шифровальщика вид дешифратор для файлов в текущем состоянии будет бесполезен. Он их просто не увидит.

[ofstd 0]

Предположительно хорошо бы восстановить около сотни файлов, может несколько десятков. Из которых приемущественно как раз rar. А вручную же можно расширение поправить?

У вас получилось восстановить подобное.

[thyrex 1 145]

Там не расширение править нужно, а остальную часть - сделав имя в правильном виде. Что я и делал вручную перед расшифровкой.

[ofstd 0]

Скажите пожалуйста, будет ли дешифратор в доступе? Платном аль свободном? Или уже что-то есть в сети?