Шифровальщик файлов [email protected] или [email protected] .XTBL [Trojan.Win32.Agent.ammcn ]

Printable View

12.01.2015, 14:38
alterato

Вложений: 3

Шифровальщик файлов [email protected] или [email protected] .XTBL [Trojan.Win32.Agent.ammcn ]

Сервер под управлением Windows Server 2003 Standard, есть белый IP на одном из интерфейсов, включена служба RDP. Произошло заражение, наиболее вероятно через уязвимость в протоколе RDP, а 7 января 2015 произошло шифрование многих файлов на данном сервере, базы 1C не затронуты. Во многих папках лежат файлы с именем README*.txt (вместо * цифра), на втором разделе 10 шт, содержимое файлов одинаковое:

[QUOTE]Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
2A5C403D2F3D443B382B|0
на электронный адрес [EMAIL="[email protected]"][email protected][/EMAIL] или [EMAIL="[email protected]"][email protected][/EMAIL] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
2A5C403D2F3D443B382B|0
to e-mail address [EMAIL="[email protected]"][email protected][/EMAIL] or [EMAIL="[email protected]"][email protected][/EMAIL] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
[/QUOTE]

Как я понял из аналогичных тем, вирус шифрует файлы, а затем сам себя удаляет, оставив прощальную записку. Вскоре после обнаружения (пользователи успели немного поработать) я отключил все сетевые интерфейсы, а после сделал снимок виртуальной машины. После этого создал файлы-логи. Если следов зловреда обнаружить не удастся, есть ли шанс найти вирус, если пройтись по дискам программой восстановления удаленных файлов?
12.01.2015, 14:39
Info_bot

Уважаемый(ая) [B]alterato[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
12.01.2015, 17:40
mike 1

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe');
TerminateProcessByName('c:\intel\web\microsoft\services.exe');
TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
TerminateProcessByName('c:\windows\temp\de50.tmp');
QuarantineFile('c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll','');
QuarantineFile('C:\RECYCLER\winlogon.exe','');
QuarantineFile('C:\Program Files\Company\gupdate\gupdate.exe','');
QuarantineFile('C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KPLJVACB\7[1].exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Моя музыка\Sync Playlists\88888102\svvhost.exe','');
QuarantineFile('C:\DOCUME~1\smelaya\LOCALS~1\Temp\9\RarSFX5\raidcall.exe','');
QuarantineFile('C:\Intel\Web\Microsoft\xStarter\services.exe','');
QuarantineFile('C:\WINDOWS\system\system32\svchost.exe','');
QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
QuarantineFile('c:\intel\web\microsoft\services.exe','');
QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
QuarantineFile('c:\windows\temp\de50.tmp','');
DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
DeleteFile('c:\intel\web\microsoft\services.exe','32');
DeleteFile('c:\intel\web\microsoft\surfguard.exe','32');
DeleteFile('C:\WINDOWS\system\system32\svchost.exe','32');
DeleteFile('C:\Intel\Web\Microsoft\xStarter\services.exe','32');
DeleteFile('C:\DOCUME~1\smelaya\LOCALS~1\Temp\9\RarSFX5\raidcall.exe','32');
DeleteFile('C:\Documents and Settings\All Users\Документы\Моя музыка\Sync Playlists\88888102\svvhost.exe','32');
DeleteFile('C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KPLJVACB\7[1].exe','32');
DeleteFile('C:\RECYCLER\winlogon.exe','32');
DeleteFile('C:\WINDOWS\TEMP\DE50.tmp','32');
DeleteFile('c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RaidCall','command');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MyApp');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MyApp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyApp','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','MyApp');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Shell22');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Shell22');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','winlogon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
DeleteService('xStarter');
DeleteService('UniInet');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.

[/CODE]

Перезагрузите сервер вручную. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
O2 - BHO: Movies Toolbar (Dist. by Bandoo Media, Inc.) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - (no file)
O3 - Toolbar: (no name) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - (no file)
O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\WINDOWS\TEMP\DE50.tmp"
O4 - HKLM\..\Policies\Explorer\Run: [Update] C:\WINDOWS\system32\stub.exe
O4 - HKLM\..\Policies\Explorer\Run: [winlogon.exe] C:\RECYCLER\winlogon.exe

[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
13.01.2015, 07:37
alterato

Вложений: 3

Готово, карантин также загружен
13.01.2015, 12:05
mike 1

[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
breg

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\МОЯ МУЗЫКА\SYNC PLAYLISTS\88888102\SVVHOST.EXE
delall %SystemDrive%\RECYCLER\WINLOGON.EXE
zoo %SystemRoot%\ADFS\CTFMON.EXE
delall %SystemRoot%\ADFS\CTFMON.EXE
delall %Sys32%\STUB.EXE
delall %SystemDrive%\PROGRAM FILES\COMPANY\GUPDATE\GUPDATE.EXE
czoo
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1[/img]
13.01.2015, 13:03
alterato

Вложений: 2

Готово
13.01.2015, 15:23
mike 1

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
HKU\S-1-5-18\...\Run: [] => [X]
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=611&systemid=406&v=a12627-140&apn_uid=3026329193814123&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1460270309-579201681-1479435844-500 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=611&systemid=406&v=a12627-140&apn_uid=3026329193814123&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
Folder: C:\Documents and Settings\All Users\Application Data\Windows
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![/list]
13.01.2015, 16:04
alterato

Вложений: 1

Лог во вложении
13.01.2015, 21:45
mike 1

[QUOTE]C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe[/QUOTE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
13.01.2015, 22:07
alterato

Готово, непредусмотрительно оставленный включенным NOD32 Smart Security при попытке загрузить файл удалил его.
14.01.2015, 02:00
mike 1

Логи в порядке. С расшифровкой не поможем.
19.01.2015, 11:23
alterato

Заплатили вымогателям 2000 руб через QIWI, прислали программу для дешифровки и ключ. Файлы были успешно расшифрованы.
19.01.2015, 13:45
mike 1

Это еще немного попросили.
20.01.2015, 09:06
alterato

Главное, что не кинули. Вчера еще у одного клиента данные зашифровались, но тут проще было - зашифровались только документы, плюс ко всему были бэкапы.
20.01.2015, 09:16
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \csrss.exe - [B]Trojan.Win32.Agent.ammcn[/B] ( BitDefender: Gen:Trojan.Heur.WmKfXGERo5gc, AVAST4: Win32:Malware-gen )[*] c:\windows\temp\de50.tmp - [B]Trojan.Win32.Agent.ammcn[/B] ( BitDefender: Gen:Trojan.Heur.WmKfXGERo5gc, AVAST4: Win32:Malware-gen )[/LIST][/LIST]