Зашифрованы файлы! [not-a-virus:NetTool.Win32.Wasppace.l, HEUR:Trojan.Win32.Generic ]

[Андрей Мелентьев]

Сегодня утром обнаружил что все файлы на сервере зашифрованы. Просит связаться со злоумышленниками по адресу [email protected]. прикрепляю архив с примерами файлов, скриншот с диалоговым окном и два важных для вас файла
Все файлы имеют расширение .NKS
КОНТРАГЕНТЫ.rar
hijackthis.log
virusinfo_syscheck.zip

[Info_bot]

Уважаемый(ая) Андрей Мелентьев, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Базы обновите. Логи сделайте не через терминальную сессию. Пароли от RDP и всех учетных поменять на более стойкие.

[Андрей Мелентьев]

Отправляю вам логи без RDP сессии все пароль укреплены.

virusinfo_syscheck.zip

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\37AA~1\AppData\Local\Temp\134\Zi5M57ow0Gj9T4G.exe','');
 QuarantineFile('C:\Recycle.Bin$\S-1-5-18-3-6-34-65\wizard.exe','');
 QuarantineFile('C:\DefaultWin\DefaultFiles\Temp\was.vbs','');
 DeleteFile('C:\DefaultWin\DefaultFiles\Temp\was.vbs','32');
 DeleteFile('C:\Recycle.Bin$\S-1-5-18-3-6-34-65\wizard.exe','32');
 DeleteFile('C:\Users\37AA~1\AppData\Local\Temp\134\Zi5M57ow0Gj9T4G.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2739740430-161323386-2977295252-1027\Software\Microsoft\Windows\CurrentVersion\Run','sse');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2739740430-161323386-2977295252-1027\Software\Microsoft\Windows\CurrentVersion\Run','wizard');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2739740430-161323386-2977295252-1034\Software\Microsoft\Windows\CurrentVersion\Run','wizard');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmeter','command');                      
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[Андрей Мелентьев]

Все как просили

VF-SERVER_2014-08-22_15-27-46.7z

virusinfo_syscheck.zip

hijackthis.log

[mike 1]

Выполните скрипт в uVS:

Код:

;uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
breg

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\1212.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\1212.EXE
zoo %SystemDrive%\RECYCLE.BIN$\S-1-5-18-3-6-34-60\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN$\S-1-5-18-3-6-34-60\WASPPACER.EXE
delall %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_64\MMCEX\7999D1DAC24CCE2D8927E465347E7970\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\MMCEX\6FCE2372FDCB87C844877A377ACFFAC0\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\MMCEX\6D4BACFD54E8F79763945BEE5A50711D\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\BILL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ЮРИЙ ГЛУШЕНКО\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\МЕЛЬНИКОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\CЕРГЕЙ ЮРИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\РИНАТ ИБРАГИМОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ЦЕХ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\СЕРГЕЙ МИЛОВАНОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ОЛЬГА КОЛБИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\МАКСИМ ГАЛИМУЛИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ЛЮДМИЛА УСОВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ЕЛЕНА ХЛЕБНИКОВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ВИКТОР ПЛОТНИКОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ВЛАДИМИР МЕЛЬНИКОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\АСИЯ САФИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\АРТУР ХУСНУЛЛИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\АННА ОРЛОВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\FEDORM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
exec C:\Program Files (x86)\WebBars\uninstall.exe
czoo
restart

На запросы удаления программ соглашайтесь. По окончанию выполнения скрипта перезагрузите сервер вручную. Архив ZOO из папки uVS пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог uVS.

[Андрей Мелентьев]

Отправил

[Vvvyg]

Microsoft SQL Server 2005 обновите до Service Pack 4, поменяйте пароли на нём (SA в первую очередь) на сложные.

Проверьте на Kerio Control разрешающие правила, доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления.

[mike 1]

Где новый лог uVS? Инструкцию по расшифровке файлов не выдам пока не увижу чистых логов.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. \wasppacer.exe._7610d64a21ef562b998f4298fd7219ef11 eafcdd - not-a-virus:NetTool.Win32.Wasppace.l ( BitDefender: Gen:Variant.Strictor.53196 )
  2. \1212.exe._2d886ea0b1d9ceb2d2ce34eee7d1fd5c1ad5ac9 8 - HEUR:Trojan.Win32.Generic ( BitDefender: Generic.Malware.Sprn.907D98C4 )