VBS-шифровальщик [HEUR:Trojan.MSIL.Miner.gen, not-a-virus:HEUR:RiskTool.Win32.BitCoinMin= er.gen]

Printable View

21.04.2019, 13:48
dlosk

Вложений: 1

VBS-шифровальщик [HEUR:Trojan.MSIL.Miner.gen, not-a-virus:HEUR:RiskTool.Win32.BitCoinMin= er.gen]

Добрый день!
На нашем сервере был открыт порт 3389 для всех желающих, с защитой от перебора пароля в виде блокировки по айпи после N-ного количества попыток (реализовано средствами микротик)
В результате, похоже, РДП взломали и засадили какого-то шифровальщика, который слава богу не сработал т.к. в системе запрещены VBS-скрипты.
Шифровальщик гнездится в
c:\programdata\snogofa\ljeki.exe
c:\windows\fonts\ctfmon.vbs
и запускается через планировщик задач. Это все я отключил, установил есет на сервер, проверился. Есет ничего не нашел, однако, определенно, какая-то дрянь еще есть. Вижу по симптомам. Например, запущеный тотал коммандер пропадает через 2 секунды без всяких сообщений.
Помогите вычислить вредоноса!

P.S. это рабочий бухгалтерский сервер. Хочется по-минимуму перезагрузок и по возможности лечения вручную, чтобы я понимал, что именно происходит.

P.P.S. на данный момент установил все обновления, какие windows update предложил
21.04.2019, 13:49
Info_bot

Уважаемый(ая) [B]dlosk[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
21.04.2019, 15:16
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('C:\ProgramData\Snogofa\Ljeki.exe');
TerminateProcessByName('C:\ProgramData\Snogofa\Uhera.exe');
TerminateProcessByName('C:\Windows\SysWOW64\Radiance\wahiver64.exe');
TerminateProcessByName('c:\windows\syswow64\radiance\wizard.exe');
QuarantineFile('C:\Distrib\update.bat', '');
QuarantineFile('C:\ProgramData\Snogofa\Ljeki.exe', '');
QuarantineFile('C:\ProgramData\Snogofa\Uhera.exe', '');
QuarantineFile('C:\Users\dlosk\AppData\Local\Temp\4\nsj5CEF.tmp\System.dll', '');
QuarantineFile('C:\Windows\SysWOW64\Radiance\wahiver64.exe', '');
QuarantineFile('c:\windows\syswow64\radiance\wizard.exe', '');
QuarantineFile('wahiver64.exe', '');
DeleteFile('C:\ProgramData\Snogofa\Ljeki.exe', '');
DeleteFile('C:\ProgramData\Snogofa\Uhera.exe', '');
DeleteFile('C:\Users\dlosk\AppData\Local\Temp\4\nsj5CEF.tmp\System.dll', '');
DeleteFile('C:\Windows\SysWOW64\Radiance\wahiver64.exe', '');
DeleteFile('c:\windows\syswow64\radiance\wizard.exe', '');
DeleteFile('wahiver64.exe', '');
DeleteFileMask('c:\programdata\snogofa', '*', true);
DeleteFileMask('c:\windows\syswow64\radiance', '*', true);
DeleteDirectory('c:\programdata\snogofa');
DeleteDirectory('c:\windows\syswow64\radiance');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
end.[/code]Перезагрузите сервер.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
21.04.2019, 16:51
dlosk

Вложений: 2

Файл update.bat мне знаком. Он обновляет наш DDNS каждые 15 минут.
Результат работы UVS прикрепляю к сообщению
Лог работы скрипта AVZ также прикрепляю
21.04.2019, 21:53
Vvvyg

Справились, подчистим остатки.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
deltmp
deltsk %SystemDrive%\PROGRAMDATA\SNOGOFA\LJEKI.EXE
apply[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Если папки C:\ProgramData\Snogofa и c:\windows\syswow64\radiance остались, удалите вручную.

Защиту от брутфорса лучше установиь политиками на сервере, а доступ по RDP давать только для нужных сетей.
22.04.2019, 06:22
dlosk

Вложений: 1

Папки успешно удалены UVS
Вроде все хорошо, но тотал все равно вылетает. Причем вылетает только если с ним активно работать. Если открыть и ничего не делать - работает. Если серфить по каталогам - вылетает.
Думаю, тотал у меня глючный. На всякий случай прогоню еще тест ОЗУ, но других проблем не замечено, вряд ли память.

За помощь в лечении огромное спасибо!
22.04.2019, 09:34
Vvvyg

Судя по логу, ещё не всё зачистили:[QUOTE](!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\RADIANCE\WIZARD.EXE [2884], tid=3792
(!) Не удалось получить доступ к C:\WINDOWS\SYSWOW64\RADIANCE\WIZARD.EXE
Не удалось открыть файл: C:\WINDOWS\SYSWOW64\RADIANCE\WIZARD.EXE[/QUOTE]это точно добили? Если нет уверенности, сделайте новый полный образ автозапуска uVS, загрузите его в доступное облачное хранилище или на файлообменник и дайте ссылку в теме.

И такой ещё лог.
Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
22.04.2019, 10:11
dlosk

Вложений: 1

[url]https://drive.google.com/file/d/1TWYdG3xJQv9rGFRrLHAadpqu1up5sToj/view?usp=sharing[/url]
Лог TDSSKiller приложен к этому сообщению
22.04.2019, 19:19
Vvvyg

[QUOTE]ESTABLISHED 192.168.1.200:3389 <-> 217.118.83.171:13932
ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.16:49164
ESTABLISHED 192.168.1.200:3389 <-> 192.168.76.17:49217
ESTABLISHED 192.168.1.200:3389 <-> 192.168.8.50:49222
ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.103:49333
ESTABLISHED 192.168.1.200:3389 <-> 192.168.76.13:49483
ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.14:49532
ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.64:50324
ESTABLISHED 192.168.1.200:3389 <-> 192.168.8.50:51884
ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.6:56600
ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.5:59672
ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.22:61379
CLOSE_WAIT 192.168.1.200:3389 <-> 82.207.46.234:60955[/QUOTE]Первый и последний - точно ваши юзеры? Особенно последний, с украинского ip.

Смените пароли всех пользователей, как минимум, с правами администратора.

Загрузите систему в безопасном режиме.

Выполните скрипт в UVS:[CODE];uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
icsuspend
zoo %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
delall %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
zoo %SystemRoot%\SYSWOW64\RADIANCE\WAHIVER64.EXE
delall %SystemRoot%\SYSWOW64\RADIANCE\WAHIVER64.EXE
delall %SystemRoot%\SYSWOW64\RADIANCE\SQLITE3-64.DLL
deldir %SystemRoot%\SYSWOW64\RADIANCE
apply
czoo
restart[/CODE]Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
26.04.2019, 16:55
dlosk

Вложений: 2

не сдается

В общем, даже из безопасного режима UVS не смог добыть карантин.
В следующий раз принесу какой-нибудь линукс на флешке к ним, попробую руками из-под него добыть.
логи прикрепляю
27.04.2019, 10:47
Vvvyg

Тогда уж просто удаляйте всю папку с LiveUSB. Хорошо защищается, гадость этакая...

Хотя ещё можно попробовать, там через Hide Folders блокируется.
В безопасном режиме сделайте.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE](FSPro Labs) C:\Windows\SysWOW64\fsproflt2.exe
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\DRM <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
"C:\Windows\System32\Tasks\Microsoft\Windows\Location" could not be unlocked Error: 5. <==== ATTENTION
Task: {B03072A2-6220-4D44-8355-89CC3F21C954} - \Microsoft\Windows\Location\GoogleUpdateCore -> No File <==== ATTENTION
"C:\Windows\System32\Tasks\Microsoft\Windows\Location" could not be unlocked Error: 5. <==== ATTENTION
Task: {D44B0917-2D82-4745-90E9-2D3CFB531DFD} - \Microsoft\Windows\Location\Scheduled -> No File <==== ATTENTION
R2 fsproflt2; C:\Windows\SysWOW64\fsproflt2.exe [0 0000-00-00] (FSPro Labs) <==== ATTENTION (zero byte File/Folder)
C:\Windows\SysWOW64\fsproflt2.exe
AlternateDataStreams: C:\Windows:Active.txt [13]
AlternateDataStreams: C:\Windows\Temp:Account.txt [28]
AlternateDataStreams: C:\Users\OBMEN\AppData\Local\Temp:Account.txt [0]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\fsproflt2 => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\fsproflt2 => ""="Service"
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

Потом, думаю, можно и UVS дочистить.
27.04.2019, 10:57
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]3[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\programdata\snogofa\ljeki.exe - [B]HEUR:Trojan.MSIL.Miner.ge=
n[/B] ( AVAST4: Win64:Trojan-gen )[*] c:\programdata\snogofa\uhera.exe - [B]not-a-virus:HEUR:RiskTool=
=2EWin32.BitCoinMiner.gen[/B] ( AVAST4: Win32:CryptoMiner-L [Trj] )[/LIST][/LIST]