Шифровальщик [email protected]

Printable View

03.12.2020, 10:04
TAE

Шифровальщик [email protected]

Пролез на один из компьютеров шифровальщик:
1. создает в папках файл [FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif]how_to_decrypt.hta
2. шифрует файлы, к некоторым добавляет [FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif][[email protected]].[006723FF-D18BF237]
Как убить?[/FONT][B][I][U][SUB][SUP]
[/SUP][/SUB][/U][/I][/B][/FONT]
03.12.2020, 10:05
Info_bot

Уважаемый(ая) [B]TAE[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
03.12.2020, 12:27
TAE

Вложений: 5

Логи делаются. Расшифровывать файлы не надо, у нас есть копии. Хотелось бы избавиться от самого вируса.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Логи сделаны!

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Логи созданные FRST.exe
04.12.2020, 00:49
thyrex

Активного вируса в логах нет
04.12.2020, 10:16
TAE

Вложений: 6

Спасибо! Можно еще с других компьютеров логи скину? А то не знаю где он сидит. :((((

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Еще один компьютер проверил.
Сообщение "исполняемый файл в потоке..." можно игнорировать, так и должно быть - это мои проги.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

А это лог с самого подозрительного компа
1. Кто-то нехороший (пусть он сейчас поперхнется) подключался к нему по RDP
2. Создана "левая" учетная запись
3. Все файлы, доки, ярлыки перешифрованы
04.12.2020, 18:32
thyrex

Выполнять на компьютере с Windows 7

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\temp\svcgnb.exe','');
DeleteFile('C:\temp\svcgnb.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237hta','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237','x64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237hta','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
06.12.2020, 14:40
TAE

Вложений: 2

Выполнил первый скрипт (авз был запущен от имени Администратора).
После перезагрузки - второй скрипт. Карантин приложил (по красной ссылке не отправляется - дает ошибку "файл уже был отправлен").
"Журнал событий" прикрепить не могу - "места нет" говорят на сайте. Как мне его отправить? На файлообменник?
Затем запустил Автологгер. Новые логи приложил.
На компьютере появился новый пользователь Lynn, которого я не создавал, с правами Администратора.
Мой пользователь VISS с правами "пользователя" у которого появилось членство в группе "Пользователи удаленного рабочего стола".
06.12.2020, 20:26
thyrex

[quote="TAE;1516416"]На компьютере появился новый пользователь Lynn, которого я не создавал, с правами Администратора.[/quote]Удалите

[quote="TAE;1516416"]Мой пользователь VISS с правами "пользователя" у которого появилось членство в группе "Пользователи удаленного рабочего стола"[/quote]удалите его из этой группы. Пароль от RDP смените на более сложный.
07.12.2020, 13:56
TAE

Сделаю. РДП сразу отключили на Циске.
07.12.2020, 18:08
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.
08.12.2020, 08:29
TAE

Вложений: 1

Так как не было указанно запускать FRST от админа или нет (я сам Пользователь) - сделал оба варианта ("от админа" также был отключен антивирус.
08.12.2020, 23:17
thyrex

1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {077c34b1-4c7e-11ea-9a8b-6cf0497d2bcd} - D:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {43a4dcc1-46ff-11ea-9f82-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {5f6cf410-47c3-11ea-9abf-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {5f6cf41c-47c3-11ea-9abf-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {5f6cf42a-47c3-11ea-9abf-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {5f6cf437-47c3-11ea-9abf-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {932305cc-52c8-11ea-86c2-6cf0497d2bcd} - D:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {9c1e19bf-d793-11ea-b4c9-6cf0497d2bcd} - E:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {9c1e19e6-d793-11ea-b4c9-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {9c1e1a3f-d793-11ea-b4c9-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {cfc2582e-6349-11ea-8dc9-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {da10f0b3-e103-11ea-9827-6cf0497d2bcd} - D:\AutoRun.exe
Task: {9A2B0A64-7C4D-4361-9971-C29511032C1D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {DB171672-667D-4D3F-9348-DFC87A1BED06} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
2020-12-02 18:55 - 2020-12-02 18:55 - 000005911 _____ C:\Users\Администратор\how_to_decrypt.hta
2020-12-02 18:55 - 2020-12-02 18:55 - 000005911 _____ C:\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\Documents\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\Desktop\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\AppData\Roaming\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\AppData\how_to_decrypt.hta
2020-12-02 18:53 - 2020-12-02 18:53 - 000005911 _____ C:\Users\VISS\AppData\LocalLow\how_to_decrypt.hta
2020-12-02 18:46 - 2020-12-02 18:46 - 000005911 _____ C:\Users\VISS\AppData\Local\Apps\how_to_decrypt.hta
2020-12-02 18:46 - 2020-12-02 18:46 - 000005911 _____ C:\Users\Public\how_to_decrypt.hta
2020-12-02 18:46 - 2020-12-02 18:46 - 000005911 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\ProgramData\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\ProgramData\Documents\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
2020-12-02 18:41 - 2018-01-15 04:56 - 000000028 _____ C:\Users\Администратор\Desktop\Shadow.bat
C:\temp\svcgnb.exe
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
09.12.2020, 12:05
TAE

Вложений: 1

Лог сделал. Хотел спросить - если нужно будет запускать "ваши" программы для создания логов от имени Администратора, вы сообщите об этом? Так как я являюсь обычным "Пользователь".

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Ещё хотел спросить - у нас есть NAS (сетевое хранилище) D-Link DNS 315, где хранились бэкапы документов. Он тоже "поврежден". Можно ли его как-то почистить? Доступ к нему через проводник windows. Могу его подключить как сетевой диск.
09.12.2020, 22:24
thyrex

[quote="TAE;1516508"]Хотел спросить - если нужно будет запускать "ваши" программы для создания логов от имени Администратора, вы сообщите об этом?[/quote]На системах, где администратор понижен в правах, запускать утилиты по умолчанию нужно от имени Администратора по правой кнопке мыши
10.12.2020, 06:39
TAE

У меня два пользователя - VISS (всегда был "Пользователь") и Администратор (встроенная учетная запись "Администратор").
Я запускал от "Пользователь", т.к. не было указаний запускать от имени Администратора.