Шифровальщик neitrino [Trojan-Downloader.Win32.Rakhni.gw ]

Printable View

26.11.2015, 14:47
toozzer

Вложений: 3

Шифровальщик neitrino [Trojan-Downloader.Win32.Rakhni.gw ]

Добрый день!

Вирус портит файлы основных форматов (офисные, изображения, архивы). "Пожрал" пока ещё не всё. Загружать систему опасно, чтобы всё не "съел". Вероятно, заражение произошло при открытии файла из письма-резюме. Файл переименован в rezume-docx (сейчас преднамеренно изменено расширение). Требование злоумышленников в файле MESSAGE.txt (эти файлы создались в большинстве папок). Несколько зашифрованных файлов, а также незашифрованные (совпадают по имени, например ВЛК 2.doc и ВЛК 2.doc.neitrino или МСИ.ppt и МСИ.ppt.neitrino), которые удалось восстановить из архива, не попавшего пока под шифрование. Однако, идентичность файлов не гарантируется, поскольку после извлечения их из архива и до шифрования, возможно они редактировались.

Учитывая, что при поиске ключа может помочь файл Наталья.neitrino, обнаруженный в папке c:\User\ (пользователь Наталья Крислатая), он тоже выложен в файлообменник.

В службе технической поддержки "Доктор Веб" ответили: "Файлы зашифрованы одним из вариантов Trojan.Encoder.263. К сожалению, для этой его разновидности (использующей шифр RSA) расшифровка нашими силами невозможна. Восстановление данных - только из резервных копий (если велось резервное копирование)."

Всё лежит здесь: [url]http://dropbox.com/sh/8u2yv2grq5sh1nq/AAD3ZvvpQdTSUMk5TLdRZWTYa[/url]

По результатам проверки, очевидно, должно быть понятно, продолжает ли шифровальщик свою деятельность дальше, либо можно продолжать работать в системе не опасаясь, что будут испорчены прочие файлы?
26.11.2015, 14:49
Info_bot

Уважаемый(ая) [B]toozzer[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.11.2015, 08:57
Vvvyg

Шифровальщик неактивен.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
27.11.2015, 11:59
toozzer

Вложений: 1

Прикладываю!
27.11.2015, 13:14
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Users\MESSAGE.txt','');
QuarantineFile('C:\ProgramData\svchost.bat','');
QuarantineFile('C:\ProgramData\AdobeSystem.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/code]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM\...\Run: [] => [X]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MESSAGE.txt [2015-11-25] ()
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MESSAGE.txt [2015-11-25] ()
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MESSAGE.txt [2015-11-25] ()
Startup: C:\Users\Наталья Крислатая\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MESSAGE.txt [2015-11-25] ()
GroupPolicyScripts: Restriction <======= ATTENTION
BHO: StartNow Toolbar Helper -> {6E13D095-45C3-4271-9475-F3B48227DD9F} -> C:\Program Files\StartNow Toolbar\Toolbar32.dll [2011-07-27] ()
Toolbar: HKLM - StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll [2011-07-27] ()
C:\Program Files\StartNow Toolbar
2015-11-25 09:59 - 2015-11-25 09:59 - 00000410 _____ C:\Users\Public\Downloads\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Public\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\Downloads\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\Documents\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\Desktop\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\AppData\Roaming\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\AppData\LocalLow\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\Downloads\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\Documents\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\Desktop\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\AppData\Roaming\MESSAGE.txt
2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\AppData\LocalLow\MESSAGE.txt
2015-11-25 09:55 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\MESSAGE.txt
2015-11-25 09:55 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\AppData\Local\MESSAGE.txt
2015-11-25 09:55 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\AppData\Local\MESSAGE.txt
2015-11-25 09:55 - 2015-11-25 09:55 - 00000410 _____ C:\Users\Default\AppData\MESSAGE.txt
2015-11-25 09:55 - 2015-11-25 09:55 - 00000410 _____ C:\Users\Default User\AppData\MESSAGE.txt
2015-11-25 09:54 - 2015-11-25 10:01 - 00000410 _____ C:\Users\Все пользователи\MESSAGE.txt
2015-11-25 09:54 - 2015-11-25 10:01 - 00000410 _____ C:\Users\Public\Documents\MESSAGE.txt
2015-11-25 09:54 - 2015-11-25 10:01 - 00000410 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MESSAGE.txt
2015-11-25 09:54 - 2015-11-25 10:01 - 00000410 _____ C:\ProgramData\Microsoft\Windows\Start Menu\MESSAGE.txt
2015-11-25 09:54 - 2015-11-25 10:01 - 00000410 _____ C:\ProgramData\MESSAGE.txt
2015-11-25 09:48 - 2015-11-25 09:48 - 00000410 _____ C:\Program Files\Common Files\MESSAGE.txt
2015-11-25 09:47 - 2015-11-25 09:55 - 00000410 _____ C:\Users\MESSAGE.txt
2015-11-25 09:47 - 2015-11-25 09:47 - 00000410 _____ C:\Program Files\MESSAGE.txt
2015-11-25 09:26 - 2015-11-25 09:26 - 00000420 _____ C:\ProgramData\svchost.bat
2015-11-20 09:33 - 2015-11-20 02:33 - 00867296 ____H C:\ProgramData\AdobeSystem.exe
2015-11-25 10:32 - 2015-11-25 10:34 - 0000410 _____ () C:\Users\Наталья Крислатая\AppData\Roaming\MESSAGE.txt
2015-11-25 10:01 - 2015-11-25 10:01 - 0000410 _____ () C:\Users\Наталья Крислатая\AppData\Local\MESSAGE.txt[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
27.11.2015, 13:54
toozzer

Вложений: 1

Выполнено!
27.11.2015, 15:44
Vvvyg

C расшифровкой, как я понимаю, пока без вариантов.

Была бы какая-то надежда найти исходные файлы в теневых копиях: в свойствах папки с зашифрованными документами на закладке "Предыдущие версии". Но самая старая точка восстановления создана уже после шифрования, так что... Скорее всего, шифровальщик удалил, а всё почему - пользователь работает с правами администратора, что очень не рекомендуется.

Ознакомьте пользователей: [URL="http://virusinfo.info/announcement.php?f=46&a=52"]Даешь просвещение в массы начальников, секретарей, бухгалтеров и клерков[/URL].
27.11.2015, 15:57
toozzer

Спасибо! Да, теневые копии уже проверены. Стоит ли ещё на что-то надеяться?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

А файл "Наталья.neitrino" из папки "C:\Users\" тоже ни о чём не говорит?
27.11.2015, 16:27
Vvvyg

Для вымогателей только.

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
27.11.2015, 16:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\adobesystem.exe - [B]Trojan-Downloader.Win32.Rakhni.gw[/B] ( AVAST4: Win32:Evo-gen [Susp] )[/LIST][/LIST]