Шифровальщик [email protected]

Printable View

06.10.2016, 17:07
sibsdf

Вложений: 3

Шифровальщик [email protected]

Добрый день.
Имеем Windows Server 2008 R2 Enterprise.
В один момент обнаружили что Kaspersky Endpoint Security 10 выключен, а 1С Предприятие не запускается. Стали разбираться.

В различных директориях появились новые файлы вида "How to restore files.hta" и к старым DLL/EXE файлам дописался в конец названия текст: [EMAIL="[email protected]"][email protected][/EMAIL], на пример [EMAIL="[email protected]"][email protected][/EMAIL]

Ссылка на архив с тремя образцами: [URL]https://drive.google.com/open?id=0B_ynd72cT-RDRjJjWVAyaXQyTEE[/URL]

Логи во вложении. Т.к. ОС серверная - первый пункт инструкции пропустили.

На скриншоте во вложении вывод файла "How to restore files.hta" после запуска. Просят 1 BTC :)

Расшифровать файлы задачи не стоит. Ничего важного не зашифровал он. Задача - очистить систему от зловреда.
06.10.2016, 17:08
Info_bot

Уважаемый(ая) [B]sibsdf[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.10.2016, 10:46
thyrex

Незашифрованные образцы этих файлов есть в наличии?

Шифратор запустили прямо на сервере?
10.10.2016, 07:13
sibsdf

[QUOTE=thyrex;1407048]Незашифрованные образцы этих файлов есть в наличии?

Шифратор запустили прямо на сервере?[/QUOTE]

Не зашифрованных нету. Шифратор судя по всему да, запустился прямо на сервере. Причем KES10 просто оказался выключен когда все обнаружилось. На все настройки KES10 стоял пароль. Тот кто знал пароль отключил антивирус не мог. На выходных ковырялся в этой сети - обнаружил что за день или два до этого один из юзеров на другой машине получил по почте инфицированный офисный документ. Продолжаю наблюдение 8)
10.10.2016, 19:06
mike 1

Пришлите пару одинакового файла шифрованный/не шифрованный. Либо пришлите нормальные зашифрованные файлы, а не библиотеки.