Вирус зашифровал файлы и сменил расширение на "crypted000007"

**DesignerMix** · 09.08.2017, 21:10

Здравствуйте, вчера утром пришло на почту письмо с адреса [email protected] с вложенным html-файлом с именем ОПЛАТИТЕ ШТРАФ 90656133. В файле был iframe со ссылкой на insurancests(dot)com. При открытии html-файла происходит скачивание Квитанция для оплаты.js Вот ссылка на проверку этого файла на virustotal - https://www.virustotal.com/ru/file/3...is/1502215736/

На компьютере стоял актуальный Avast который в день заражения вирусом сохранил в карантине несколько exe-файлов во время примерное когда открыли письмо и запустили js-файл который видимо загрузил вирус и запустил его.

Многие (или все) файлы, документы и т.п. были зашифрованы (или только замаскированы под то, что они зашифрованы). Имена файлов имеют следующий вид 92glZrpCWdC3EEb-SLytej9mf0SJq3w0NDi+MX0Q+8EgCaCuVe3C5rDG5rmiBUF1zZ Y7An-e9X5h1OM7dc9O+7W673tdTeuGh6jK489pA1w=.49C3DD9FC140 298C28E5.crypted000007

На рабочем столе и в некоторых папках были созданы файлы README1.txt (причем не один а несколько с разными цифрами после readme в названии). Вот содержание одного из таких readme:

Скрытый текст

Bаши фaйлы былu зашифрoваны.Чmобы рacшифpоваmь их, Вaм нeoбxoдuмo отправuть koд:
49C3DD9FC140298C28E5|0
нa элекmронный адреc [email protected] .
Дaлee вы пoлyчume вcе необxoдимые инcmрykцuu.
Попыmkи рacшuфрoвать caмocтoятeльнo нe nривeдym ни к чeму, kромe бeзвoзвpатной пoтepи uнфopмaцuи.
Еслu вы всё жe хоmuте пoпытamься, тo прeдварuтельнo сделайmе pезeрвные кoпuи фaйлoв, инaче в cлyчае
ux изменeния paсшифpoвkа cmaнеm невoзмoжнoй нu пpи кakих условияx.
Ecли вы нe пoлyчили oтвеma пo вышеукaзаннoмy адpеcу в тeченuе 48 чаcoв (и moльkо в этoм cлучae!),
вoспользуйmecь фopмой oбратной cвязu. Эmо можнo cделamь двумя cпоcoбами:
1) Сkaчайmе и устaнoвиme Tor Browser пo ccылke: https://www.torproject.org/download/...d-easy.html.en
В aдрeсной строкe Tor Browser-a ввeдиmе aдpес:
http://cryptsen7fo43rr6.onion/
u нажмumе Enter. Заrрyзumcя стpaницa с фopмой обрaтнoй связи.
2) B любом браузере пepейдиmе по однoмy из адpecoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
49C3DD9FC140298C28E5|0
to e-mail address [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/...d-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Скрыть

Отчет сформированный согласно правил я приложил. js-файл и само письмо в почте не удалены. Правда js-файл я загружал с другого компьютера из под виртуальной машины. Если нужно могу извлечь файлы из карантина avast и также отправить на virustotal.

PS: Если это может помочь то сохранилось несколько не зашифрованных файлов из тех которые были зашифрованы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.08.2017, 21:11

Уважаемый(ая) DesignerMix, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 09.08.2017, 23:55

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\PROGRA~3\SysWOW64\7cxJNf1.cmd','');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\PROGRA~3\SysWOW64\7cxJNf1.cmd','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к сообщению НОВЫЕ логи

**DesignerMix** · 10.08.2017, 00:58

После выполнения первого скрипта появилось сообщение что "скрипт выполнен без ошибок" а затем вылетел BSOD, я проанализировал дамп, вот отчет (если он конечно нужен), причина по видимому в антивирусе avast, хотя я его приостанавливал перед запуском скрипта:

Скрытый текст

1. "C:\WINDOWS\Minidump\081017-15085-01.dmp"

Which one would you like to analyze?[1-1] 1

Analyzing "C:\WINDOWS\Minidump\081017-15085-01.dmp", please wait... Done.

Crash date: Thu Aug 10 00:36:22.375 2017 (UTC + 3:00)
Stop error code: 0xD4
Probably caused by: aswRdr2.sys ( aswRdr2+11e38 )

Скрыть

После перезагрузки я выполнил второй скрипт корректно, архив прикладываю.

Также приложил отчет собранный после выполнения всех скриптов утилитой Autologger.

**thyrex** · 10.08.2017, 07:03

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**DesignerMix** · 10.08.2017, 23:44

Как только добрался до компьютера, выполнил сканирование. Отчет во вложении.

**DesignerMix** · 11.08.2017, 19:18

Я почитал другие темы с этим шифровальщиком. Как понимаю на расшифровку надеяться не стоит. Есть-ли смысл сохранить образ системы (утилитой вроде акрониса) и дождаться дешифратора или даже заморачиваться не стоит?

PS: Последний отчет который я сделал как я понимаю это финальный шаг для создания скрипта лечения системы. После применения этого скрипта в ОС вируса не останется? Можно-ли будет пользоваться ей без переустановки?

**mike 1** · 11.08.2017, 23:39

Добрый вечер, DesignerMix

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
2017-08-08 11:59 - 2017-08-10 00:36 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64
2017-08-08 11:59 - 2017-08-10 00:36 - 000000000 __SHD C:\ProgramData\SysWOW64
2017-08-08 11:57 - 2017-08-08 11:57 - 003932214 _____ C:\Users\Администратор\AppData\Roaming\BA812051BA812051.bmp
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Администратор\Desktop\README9.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Администратор\Desktop\README8.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Администратор\Desktop\README7.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Администратор\Desktop\README6.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Администратор\Desktop\README5.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Администратор\Desktop\README4.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Администратор\Desktop\README3.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Администратор\Desktop\README2.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Администратор\Desktop\README10.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Public\Desktop\README9.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Public\Desktop\README8.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Public\Desktop\README7.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Public\Desktop\README6.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Public\Desktop\README5.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Public\Desktop\README4.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Public\Desktop\README3.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Public\Desktop\README2.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Public\Desktop\README10.txt
2017-08-08 11:56 - 2017-08-08 11:56 - 000004186 _____ C:\Users\Public\Desktop\README1.txt
2017-08-08 10:53 - 2017-08-08 10:53 - 000004186 _____ C:\README9.txt
2017-08-08 10:53 - 2017-08-08 10:53 - 000004186 _____ C:\README8.txt
2017-08-08 10:53 - 2017-08-08 10:53 - 000004186 _____ C:\README7.txt
2017-08-08 10:53 - 2017-08-08 10:53 - 000004186 _____ C:\README6.txt
2017-08-08 10:53 - 2017-08-08 10:53 - 000004186 _____ C:\README5.txt
2017-08-08 10:53 - 2017-08-08 10:53 - 000004186 _____ C:\README4.txt
2017-08-08 10:53 - 2017-08-08 10:53 - 000004186 _____ C:\README3.txt
2017-08-08 10:53 - 2017-08-08 10:53 - 000004186 _____ C:\README2.txt
2017-08-08 10:53 - 2017-08-08 10:53 - 000004186 _____ C:\README10.txt
2017-08-08 10:53 - 2017-08-08 10:53 - 000004186 _____ C:\README1.txt
2017-08-08 10:49 - 2017-08-10 00:36 - 000000000 __SHD C:\Users\Все пользователи\Windows
2017-08-08 10:49 - 2017-08-10 00:36 - 000000000 __SHD C:\ProgramData\Windows
2017-08-08 11:57 - 2017-08-08 11:57 - 003932214 _____ () C:\Users\Администратор\AppData\Roaming\BA812051BA812051.bmp
File: C:\Users\Администратор\AppData\Local\Temp\DD8930BE.exe
C:\Users\Администратор\AppData\Local\Temp\DD8930BE.exe
Folder: C:\FRST\Quarantine

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Есть-ли смысл сохранить образ системы (утилитой вроде акрониса) и дождаться дешифратора или даже заморачиваться не стоит?

Расшифровка если и появится, то индивидуальная у вендоров. Причем они об этом не скажут. Нужно будет писать запрос в техподдержку и ждать их ответа. Но я думаю расшифровки не будет, там связку используют AES256 для шифрования самих файлов и RSA для шифрования AES ключа, причем если компьютер подключен к интернет, то шифровальщик запрашивает случайный открытый RSA ключ с сервера большой длины, в противном случае он использует случайный RSA ключ, зашитый в нем.

После применения этого скрипта в ОС вируса не останется?

Он останется в карантине. Все что будет удалено с помощью FRST будет сохранено в папке C:\FRST\Quarantine

Можно-ли будет пользоваться ей без переустановки?

Можно, но нужно будет сменить пароли, сохраненные в браузерах.

**DesignerMix** · 12.08.2017, 01:06

Спасибо за ответ!
Отчет приложил (архив создан не был).

Про расшифровку понял, так и передам. Как выяснилось часть данных таки около недели назад скопировали на другой компьютер и вроде как жить можно.

Будь я там администратором наверное сделал-бы какой-нибудь ограниченный в правах FTP-сервер и ежедневно в автоматическом режиме создавал резервные копии самых важных папок и данных. Надеюсь что теперь, когда жареный петух клюнул, в организации подумают о наладке механизма резервного копирования.

А пока поставлю Kaspersky Anti-Ransomware Tool for Business и обновлю ОС.

Спасибо еще раз за ответы и поддержку!

**mike 1** · 12.08.2017, 01:29

========================= File: C:\Users\Администратор\AppData\Local\Temp\DD8930BE .exe ========================

File not signed
MD5: D668221D749214AAC4E04D3DAAE07F7F
Creation and modification date: 2017-08-08 11:59 - 2017-08-08 11:59
Size: 012407808
Attributes: ----A
Company Name:
Internal Name:
Original Name:
Product:
Description:
File Version:
Product Version:
Copyright:
VirusTotal: https://www.virustotal.com/file/caaf...is/1502219922/

Malwarebytes Trojan.PasswordStealer

Пароли все таки придется сменить.

Рекомендации по защите данных https://clck.ru/BbseU

**CyberHelper** · 12.08.2017, 01:39

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Вирус зашифровал файлы и сменил расширение на "crypted000007" (заявка № 214508)

Опции темы