Шифровальщик Omerta

Здравствуйте! С утра пришел на работу и увидел, что большая часть файлов имеет расширение omerta. В воскресенье все было еще живо.
Не могу найти откуда что пришло. Текстовый файл "READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT" появился в примерно в час ночи. Никого на работе в это время не было. Помогите пожалуйста!!!

Уважаемый(ая) [B]vlad_1976[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\AudioFiX.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.



- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.

Доброго дня! Карантин загрузил.
Файл сохранён как 180828_054013_quarantine_5b84e03d0758a.zip
Размер файла 442532
MD5 f020c25ae7928ba8c63b181cdb5a2655

Найдено новое вредоносное ПО - Trojan:Win32/Zpevdo.A (Microsoft)


AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\AudioFiX.exe','');
DeleteFile('C:\Windows\AudioFiX.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "Windows Audio fix" /F', 0, 15000, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Далее продолжите тут: [url]https://virusinfo.info/showthread.php?t=220043[/url]

Уважаемый SQ, сегодня посмотрел какие учетные записи открыты на моем компе. Так вот, учетная запись Гость у меня отключена. это по поводу записи Владелец в свойствах текстового файла, созданного вымогателями.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

А вот файл зашифрованный omerta, во вкладке Владелец имеет такую запись S-1-5-21-1060284298-1004336348-725345543-1003

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Вот сегодня сработал антивирус в 12.56

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

первоисточник не нашел. А также нет у нас машин с английской ОС

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

в логах Kerio в 12.56 обнаружил такую запись [03/Sep/2018 12:56:38] Found virus in mail from <[email protected]> to <andrey@******>: VIRUS: Trojan.GenericKD.40444523

Похоже, кому-то решили отправить вирус, лучше это письмо не открывать. По пробуйте найти запись антивируса почтового сервера на день заражения.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Тема публичная, я вам советую скрыть домен почтовых писем, чтобы злоумышлинники не воспользовались еще раз и не отправили вам новый вирус.

смотрю логи, но пока ничего не вижу подобного. Если заражение началось примерно в 1.51 ночи, искать надо до этого времени или есть вариант, что письмо после этого времени пришло?

После не могло бы, разве, что если время не синхронизированно.

А что по поводу Владельца файлов? Есть мнение?

[QUOTE=vlad_1976;1487895]А что по поводу Владельца файлов? Есть мнение?[/QUOTE]

По Sid не реально определить пользователи и ПК, так как у Вас не используется AD. Тут разве, что смотреть логи на ПК, если записаны входы по SMB.

Просмотрел все компьютеры, отсмотрел логи Kerio, ничего, пусто. Как-будто ничего и небыло. 2 дня тут отсылаются письма с одного и того же ip адреса (про него писал выше), отправил его в черный список и по домену заблокировал. Надеялся, что он обнаружится когда атака была, так и этого там нет.

Ну к сожалению ничем больше помочь не сможем, когда будет ответ от Лаборатории Касперского я Вам сообщу в лс.

Спасибо.
Я создал тему по третьему компьютеру, который был подвержен шифрованию [url]https://virusinfo.info/showthread.php?t=220156&p=1488028#post1488028[/url]