Вирус зашифровал все файлы с расширение *CRYPTO [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen, Trojan-Downloader.VB= S.Agent.ber]

Printable View

28.11.2018, 08:36
lexter007

Вложений: 1

Вирус зашифровал все файлы с расширение *CRYPTO [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen, Trojan-Downloader.VB= S.Agent.ber]

Помогите пожалуйста расшифровать файлы. Лог программы прикрепил.
28.11.2018, 08:37
Info_bot

Уважаемый(ая) [B]lexter007[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
29.11.2018, 04:30
SQ

Здравствуйте,

Мы не можем гарантировать, что сможем помочь вам с расшифровкой.

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
QuarantineFile('C:\Users\Администратор\AppData\Roaming\Local Security Authority Process.exe','');
QuarantineFile('C:\Users\КрыгинаН\AppData\Roaming\Tempo\DOC001.exe','');
BC_ImportQuarantineList;
BC_Activate;
end.
[/CODE]

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
29.11.2018, 07:20
lexter007

Вложений: 3

Спасибо, что просто помогаете. Все сделал как просили. Прошу прощения, карантин не туда загрузил.
29.11.2018, 08:32
SQ

К сожалению с данным типом шифровальщика скорее всего не поможем с расшифровкой.

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
HKU\S-1-5-21-1031816772-1046381859-1296593770-500\...\Run: [smBqa] => C:\Users\Администратор\HOW TO RECOVER ENCRYPTED FILES.TXT [1948 2018-11-28] ()
Startup: C:\Users\КрыгинаН\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2018-11-26]
ShortcutTarget: explorer.lnk -> C:\Users\Администратор\AppData\Roaming\Tempo\DOC001.exe (No File)
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\SQLSERVERAGENT\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ReportServer\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MSSQLServerOLAPService\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MSSQLSERVER\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MSSQLFDLauncher\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MsDtsServer110\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:24 - 2018-11-28 01:24 - 000001948 _____ C:\Program Files (x86)\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:18 - 2018-11-28 01:18 - 000001948 _____ C:\Program Files\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:08 - 2018-11-28 08:35 - 000001948 _____ C:\Users\Администратор\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:08 - 2018-11-28 01:08 - 000001948 _____ C:\Users\Администратор\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:08 - 2018-11-28 01:08 - 000001948 _____ C:\Users\Администратор\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
Zip: C:\Users\КрыгинаН\AppData\Roaming\temp.bat;C:\Users\КрыгинаН\AppData\Roaming\offline.txt
2018-11-26 10:43 - 2018-11-26 13:31 - 000000026 _____ C:\Users\КрыгинаН\AppData\Roaming\temp.bat
Folder: C:\Users\КрыгинаН\AppData\Roaming\Tempo
2018-11-26 10:40 - 2017-06-04 20:01 - 000000000 __RSH C:\Users\КрыгинаН\AppData\Roaming\cppredistx86.exe
Folder: C:\Users\КрыгинаН\AppData\Roaming\NsMiner
Folder: C:\Users\Администратор\WINDOWS
2018-11-28 01:18 - 2018-11-28 01:18 - 000001948 _____ () C:\Program Files\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:24 - 2018-11-28 01:24 - 000001948 _____ () C:\Program Files (x86)\HOW TO RECOVER ENCRYPTED FILES.TXT
File: C:\Users\Администратор\AppData\Roaming\Local Security Authority Process.exe
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что сервер возможно будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
29.11.2018, 10:27
lexter007

Вложений: 2

Почему то не могу загрузить в карантин, пишет, файл уже загружен. Вот прикрепил в теме.
29.11.2018, 10:40
SQ

Согласно логу fixlog.txt вы сохранили скрипт фикса без поддержки unicode (юникод), так как русские символы (кириллица) представленны ввиде иероглифов.
29.11.2018, 10:56
lexter007

Вложений: 1

Ой, ошибочка. Вот в Юникоде
29.11.2018, 18:41
SQ

Этот батник Вам известен?
[CODE]C:\Users\КрыгинаН\AppData\Roaming\temp.bat[/CODE]

Тут похоже на майниг, что из этого Вам знакомо?
[CODE]2018-10-17 18:17 - 2018-10-17 18:17 - 001522176 ____A [30843CDD1E1EB312D1CCE94C3C826C88] (www.xmrig.com) C:\Users\КрыгинаН\AppData\Roaming\Tempo\NsCpuCNMiner32.exe
2018-10-17 18:24 - 2018-10-17 18:24 - 001075200 ____A [2F4E3381E0CD64B0330D509D6916B940] (www.xmrig.com) C:\Users\КрыгинаН\AppData\Roaming\Tempo\NsCpuCNMiner64.exe

2018-11-26 08:37 - 2016-10-10 14:11 - 000585883 ____A [43E42D7948C5DC237869786CCB39720A] () C:\Users\КрыгинаН\AppData\Roaming\NsMiner\IMG001.exe
2018-11-26 10:40 - 2018-11-26 10:40 - 000045593 ____A [EBAFD0A5EF13AE119234B11109D3E0B5] () C:\Users\КрыгинаН\AppData\Roaming\NsMiner\IMG004.exe[/CODE]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Если Вам ничего из этого (майнинга) не известно, то выполните следующее:
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
Zip: C:\Users\КрыгинаН\AppData\Roaming\NsMiner;C:\Users\КрыгинаН\AppData\Roaming\Tempo
C:\Users\КрыгинаН\AppData\Roaming\NsMiner
C:\Users\КрыгинаН\AppData\Roaming\Tempo
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
30.11.2018, 07:12
lexter007

Вложений: 1

Про майнинг вообще ничего не известно, то есть на сервере не было майнинга.

Архив загрузил по ссылке, во вложения не влез.
30.11.2018, 08:31
SQ

[QUOTE=lexter007;1492655]Про майнинг вообще ничего не известно, то есть на сервере не было майнинга.
[/QUOTE]

Вот детекты Virustotal:
[url]https://www.virustotal.com/#/file/75a8d384f42fb00cb0589d56f171927246c40d0dddce4b819d6452b58b01cced/detection[/url]
[url]https://www.virustotal.com/#/file/b8c30b4dd475bf754d87c27d1365f46adfeb534c0f3f042f72f284764bee25e1/detection[/url]
[url]https://www.virustotal.com/#/file/be8884fa0bdff20838a08a9a70331e438adfc36336c643b2128ffd978e92540f/detection[/url]
[url]https://www.virustotal.com/#/file/6eaebe0831a31d42003811927284cbce49c0fa10d177f28d139f3f64369c2327/detection[/url]

В логах больше ничего плохого не найдено, к сожалению с расшифровкой не поможем. Если есть лицензии к антивирусным продуктам пробуйте обратиться к вендорам за помощью. Если есть лицензия на продукта Kaspersky Lab пробуйте к ним тоже обратиться.

P.S. Не удаляйте каратин C:\FRST пока не решите вопрос с расшифровкой.
30.11.2018, 08:41
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]4[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] \nsminer\img001.exe - [B]Trojan-Downloader.VBS.Agent.ber[/B] ( B=
itDefender: Application.BitCoinMiner.IG, AVAST4: Win32:Malware-gen )[*] \nsminer\img004.exe - [B]UDS:Trojan-Downloader.Win32.Generic[/B]=
( AVAST4: Win32:Malware-gen )[*] \tempo\nscpucnminer32.exe - [B]not-a-virus:HEUR:RiskTool.Win32.B=
itCoinMiner.gen[/B] ( AVAST4: Win32:CryptoMiner-L [Trj] )[*] \tempo\nscpucnminer64.exe - [B]not-a-virus:HEUR:RiskTool.Win32.B=
itCoinMiner.gen[/B] ( AVAST4: Win32:CryptoMiner-L [Trj] )[/LIST][/LIST]