xmrlocker Словил XMRLocker

[Владимир_ADR]

Собственно поймал шифровальщик XMRLocker. Для расшифровки могу предоставить сами зашифрованные файлы, так и оригинальные которые лежали на внешнем хранилище. На момент "шифрования" никакой лицензии Касперского не было.

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Владимир_ADR]

Спасибо за ответ. Файла самоFiles.zipго шифровальщика нет, впрочем и письма от злоумышленников. Система не переустанавливалась, но перегружалась.

FRST_16-04-2021 10.22.55.txt

[Sandor]

1 час назад, Владимир_ADR сказал:

На момент "шифрования" никакой лицензии Касперского не было

А сейчас уже есть?

Если да, можете создать запрос на расшифровку. По нашим данным (не ЛК) вымогатель пока в стадии изучения.

 

В предоставленных логах не хватает файла Addition.txt, добавьте, т.к. вредонос пока активен в системе, надо чистить.

[Владимир_ADR]

Лицензию куплю. Надежда на расшифровку есть?

По поводу лицензии, подойдёт любая?

 

Addition_16-04-2021 10.22.55.txt

Изменено 16 апреля, 2021 пользователем Владимир_ADR
добавление

[Sandor]

Не хочу вас обнадеживать, скорее всего расшифровки не будет.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: G - G:\AutoRun.exe
  HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {11d45374-8113-11e9-9acf-704d7b85edc8} - G:\AutoRun.exe
  HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {3512f8e6-813b-11e9-9b75-704d7b85edc8} - G:\AutoRun.exe
  HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {3512f91a-813b-11e9-9b75-704d7b85edc8} - G:\AutoRun.exe
  HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {5ea29cf6-fc53-11e8-9d7f-704d7b85edc8} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {cc3ef269-a26e-11ea-8ec1-704d7b85edc8} - E:\AltiumDesigner19Setup.exe
  HKU\S-1-5-21-1302885275-2537925-3429497175-1000\...\MountPoints2: {cc3ef26c-a26e-11ea-8ec1-704d7b85edc8} - F:\AltiumDesigner19Setup.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {34036994-D677-406C-ACAF-B65FF6900058} - System32\Tasks\Jq3mCog5 => C:\ProgramData\XMRLocker.exe <==== ВНИМАНИЕ
  C:\Users\Vladimir\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
  C:\Users\Vladimir\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
  C:\Users\Vladimir\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
  C:\Users\Vladimir\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\ProgramData\XMRLocker.exe
  AlternateDataStreams: C:\Users\Vladimir:Index [148]
  AlternateDataStreams: C:\Users\Vladimir\Application Data:1 [148]
  AlternateDataStreams: C:\Users\Vladimir\AppData\Roaming:1 [148]
  BHO: Нет имени -> {ECEC7FAC-4835-4789-B5E1-8284D698DCF2}' -> Нет файла
  BHO-x32: Нет имени -> {ECEC7FAC-4835-4789-B5E1-8284D698DCF2}' -> Нет файла
  FirewallRules: [{4AC6B387-8433-423B-A809-514542D8E00A}] => (Allow) C:\Program Files (x86)\Remote Utilities - Host\rutserv.exe => Нет файла
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Владимир_ADR]

Fixlog

Fixlog_16-04-2021 12.26.25.txt

[Sandor]

Если был открыт доступ через удаленный рабочий стол (RDP), закройте или смените пароль.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Владимир_ADR]

SecurityCheck

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 10.0.9200.16540 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
PuTTY release 0.71 (64-bit) v.0.71.0.0 Внимание! Скачать обновления
Oracle VM VirtualBox 6.0.12 v.6.0.12 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Notepad++ (32-bit x86) v.7.7.1 Внимание! Скачать обновления
Wireshark 3.4.3 64-bit v.3.4.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45704 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 181 (64-bit) v.8.0.1810.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.2.2.5.1 Внимание! Скачать обновления
----------------------------- [ EmailClient ] -----------------------------
The Bat! v4.1.9 Русская Версия v.4.1.9.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.1.32 v.3.1.32 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
web control version 3.0.5.1 v.3.0.5.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
C:\Users\Vladimir\AppData\Roaming\ACEStream\engine\ace_engine.exe v.3.1.8.0
 

 

Хотфиксы постарайтесь установить все.

 

Читайте Рекомендации после удаления вредоносного ПО

[Владимир_ADR]

После попытки установить обновления (конкретно KB4474419), система упала совсем, при запуске пишет, что не хватает файла hal.dll и код ошибки (точно не помню). Пишу уже с другого ПК.

[Sandor]

В среду восстановления попасть можете? Если да, пробуйте откатиться на предыдущую точку восстановления.

[Владимир_ADR]

Попытка откатиться не помогает, ошибку выдаёт ту-же (нет или повреждён hal.dll).

[Sandor]

7 часов назад, Sandor сказал:

В среду восстановления попасть можете?

Вы не ответили. Как именно пробовали откатиться, из какого режима?

[Владимир_ADR]

Дальше не идет. (безопасные режимы тоже не работают)

 

Изменено 16 апреля, 2021 пользователем Владимир_ADR