crysis [openpgp@foxmail.com].pgp

[an4ou5]

Добрый день!

Появился на нашем файловом сервере вот такой вот вредитель. Шифрует файлы с расширением pgp, антивирус его пропускает. Скажите пожалуйста как быть в данной ситуации? Есть какой нибудь дешифратор?  Как его убить? Даже бэкапы зашифровал. После шифра файла, к файлу добавляется вот такой текст [openpgp@foxmail.com].pgp. Прикладываю  к посту файлы автологера, прошу тему не закрывать, пострадало серверов много, завтра сброшу сюда же еще файлы с других серверов.

Спасибо!

CollectionLog-2020.06.28-21.17.zip

[thyrex]

На будущее настоятельно рекомендуется читать правила оформления запроса раздела, в котором пишете, и присылать только запрашиваемые в правилах логи.

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\romwln.dll','');
 TerminateProcessByName('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe');
 QuarantineFile('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe','');
 QuarantineFile('c:\users\ivanova.ad\desktop\ns.exe','');
 DeleteFile('c:\users\ivanova.ad\desktop\ns.exe','32');
 DeleteFile('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe','32');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4133099764-3922599318-3389021176-1215\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\ivanova.AD\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4133099764-3922599318-3389021176-1215\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\ivanova.AD\AppData\Roaming\Info.hta','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
  

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Прикрепите к следующему сообщению логи, сделанные по правилам оформления запроса
 

[an4ou5]

Прошу прощения!

Вот нормальные логи и архив.

Логи.rar Doklad fito._docx.id-02ADE976.[openpgp@foxmail.com].rar

 

Скрипты прогнал.

Зип файл загрузил.

Копирую как просили полученный ответ

 

Файл сохранён как	200629_075408_2020-06-29_5ef99e2040cca.zip
Размер файла	133519
MD5	d28ab056ee0d9e6a9cb1c140787e30f6

Файл закачан, спасибо!

 

Прикрепил логи с 2го сервера, архив с шифрованным файлом прикладывал выше

Addition.txt FRST.txt

[thyrex]

Логи с остальных машин бесполезны. Они, если и пострадали, то по сети.

 

С расшифровкой помочь не сможем. Будет только зачистка мусора в системе.

 

Выполните написанное ниже на первом сервере.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe [2020-06-28] (Microsoft Corporation -> Microsoft Corporation)
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-28] () [File not signed] [File is in use]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-18] () [File not signed] [File is in use]
C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

[an4ou5]

47 minutes ago, thyrex said:

Логи с остальных машин бесполезны. Они, если и пострадали, то по сети.

 

С расшифровкой помочь не сможем. Будет только зачистка мусора в системе.

 

Выполните написанное ниже на первом сервере.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe [2020-06-28] (Microsoft Corporation -> Microsoft Corporation)
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-28] () [File not signed] [File is in use]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-18] () [File not signed] [File is in use]
C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

А можно скинуть логи  с компьютера виновного? Этот сервер я думаю тоже заразился по сети..

Fixlog.txt

[an4ou5]

39 minutes ago, an4ou5 said:

А можно скинуть логи  с компьютера виновного? Этот сервер я думаю тоже заразился по сети..

Fixlog.txt 3 kB · 0 downloads

предположительно виновного!

[thyrex]

Ну давайте посмотрим.

[an4ou5]

Нашел рассадник заразы, он опять зашифровал сервер предыдущий, скажите пожалуйста последним скриптом я опять могу убить эту всю заразу? или надо все по новой проделать? Сейчас соберу логи с компьютера распространителя 

 

1 час назад, thyrex сказал:

Ну давайте посмотрим.

 

Addition.txt FRST.txt

[thyrex]

Цитата

Ran by ivanova (ATTENTION: The user is not administrator)

Логи нужны из учетной записи с правами администратора. Переделывайте.

[an4ou5]

24 minutes ago, thyrex said:

Логи нужны из учетной записи с правами администратора. Переделывайте.

Пардоньте. Вот

Addition.txt FRST.txt

[thyrex]

Да нет в логах никаких следов шифровальщика. Если этот сервер сам пострадал по сети, то искать нужно на локальных компьютерах пользователей, имеющих подключение к серверу.

[an4ou5]

14 hours ago, thyrex said:

Да нет в логах никаких следов шифровальщика. Если этот сервер сам пострадал по сети, то искать нужно на локальных компьютерах пользователей, имеющих подключение к серверу.

Логи, которые я прикрепил последние и есть с локального компьютера, с него опять вчера пошел шифр сервера, который мы чистили скриптами выше, скажите пожалуйста как его выпелить оттуда, опять прогнать скрипты, которые вы постили выше?

[thyrex]

Если бы там были следы шифратора, я бы выдал новый скрипт. А там ничего подозрительного. Даже из-под пользователя ivanova.

[an4ou5]

9 minutes ago, thyrex said:

Если бы там были следы шифратора, я бы выдал новый скрипт. А там ничего подозрительного. Даже из-под пользователя ivanova.

 

Вчера именно с этого компьютера при попытке зайти на удаленный рабочий стол 1с началось шифрование удаленного рабочего стола, что делать в очередной раз прогнать скрипты на том сервере, которые вы прикрепили выше? Как я понимаю вирус не на самом сервере логи которого я выкладывал ранее, а где то на локальном компьютере?