По всей сети прошло заражение компьютеров, вирус зашифровал файлы, добавил расширение ~xdata~ [Trojan-Dropper.Win32.Dapato.oxcr ]

Printable View

19.05.2017, 02:03
AlexLoL

Вложений: 1

По всей сети прошло заражение компьютеров, вирус зашифровал файлы, добавил расширение ~xdata~ [Trojan-Dropper.Win32.Dapato.oxcr ]

При этом в каждой папке создал текстовый файл вида :
our IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc.

Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.

To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and Settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').

Then send it to one of following email addresses:

[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]

Your ID: SAIS-001415P#F6FAEB3C717A330A18EA50874E5ABD43

Do not worry if you did not find key file, anyway contact for support.
Я уже этим сволочам написал, но там ни ответа, ни привета.
19.05.2017, 02:05
Info_bot

Уважаемый(ая) [B]AlexLoL[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
19.05.2017, 06:10
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\smss.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe','32');
DeleteFile('C:\WINDOWS\svchost.exe','32');
DeleteFile('C:\WINDOWS\smss.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
19.05.2017, 06:37
AlexLoL

Вложений: 1

Я выполнил скрипт, и видел quarantine.zip. Но после выполнения Autologger он пропал...

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Результат Autologger
19.05.2017, 06:42
thyrex

[quote="AlexLoL;1450090"]Но после выполнения Autologger он пропал...[/quote]Действия нужно выполнять в том порядке, в котором они указаны.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
19.05.2017, 07:18
AlexLoL

Вложений: 1

результаты Farbar

результаты Farbar
19.05.2017, 09:05
thyrex

[QUOTE]C:\WINDOWS\taskhost.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\lsm.exe
C:\WINDOWS\wininit.exe
C:\WINDOWS\dwm.exe
C:\WINDOWS\conhost.exe[/QUOTE]Заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите карантин по красной ссылке
19.05.2017, 11:57
AlexLoL

Файлы в карантине

Не разрешает загрузить на сайт - размер архива 4,5 мб

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

ой.
шлю как надо

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Что можно сделать ?
Сами вымогатели еще не ответили ... Начальство спрашивает, сколько это будет стоить.
21.05.2017, 10:48
thyrex

С расшифровкой помочь не сможем.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
C:\WINDOWS\taskhost.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\lsm.exe
C:\WINDOWS\wininit.exe
C:\WINDOWS\dwm.exe
C:\WINDOWS\conhost.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
21.05.2017, 11:21
AlexLoL

Мы все сносим и ставим начисто

Мы уже приняли решение все зачищать и ставить все сервера и локальные компьютеры начисто. 1С восстановим из резервной копии, а то, что зашифровано, все равно не восстановить.
Вопрос только в том, как защититься от повторной атаки - помогите хоть в этом. Ставим обновление против WannaCry. Собираемся ставить NOD - вопрос, будет ли он эффективен?
31.05.2017, 14:10
thyrex

[url]http://www.nomoreransom.org/uploads/RakhniDecryptor.zip[/url] пробуйте
31.05.2017, 15:02
AlexLoL

Спасибо, конечно

Но мы уже все снесли и поставили начисто. Я все со следами этого вируса отформатировал, чтоб не дай Бог не подцепить.
Черт с этим всем зашифрованным, меня больше интересует как можно защититься и чем можно обнаружить.
Отключение SMB1 - не выход, потому как у меня почти вся сеть ХР, а через него все шары подключаются. И без него по сети ничего не видно.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

23 го числа пришло письмишко. Хотели по 0,2 биткойна за компьютер.
31.05.2017, 15:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \conhost.exe - [B]Trojan-Dropper.Win32.Dapato.oxcr[/B][*] \dwm.exe - [B]Trojan-Dropper.Win32.Dapato.oxcr[/B][*] \lsass.exe - [B]Trojan-Dropper.Win32.Dapato.oxcr[/B][*] \lsm.exe - [B]Trojan-Dropper.Win32.Dapato.oxcr[/B][*] \taskhost.exe - [B]Trojan-Dropper.Win32.Dapato.oxcr[/B][*] \wininit.exe - [B]Trojan-Dropper.Win32.Dapato.oxcr[/B][/LIST][/LIST]