распознал шифровальщика в процессе шифромания

[ArCticIce]

Здравствуйте! Увидел, что на windows server 2008 один процесс дико "жрет" процессор, был заблокирован диспетчер задач, скинул папку avz разблокировал и увидел, что появился текстовый файл характерный для шифровальщика. вырубил комп загрузился с win PE, скопировал все данные на другой винт. теперь вот нужна помощь изловить гада! тк это уже второй раз, в первый раз dr.web прислали расшифровщик.

[Info_bot]

Уважаемый(ая) ArCticIce, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[ArCticIce]

Autologger можно под win PE запускать или нужно загружать систему как обычно?

[thyrex]

Как обычно

[ArCticIce]

стесняюсь спросить, а где кнопка прикрепить файл? или нужно любой ftp использовать?

- - - - -Добавлено - - - - -

http://dropmefiles.com/qAKcF

- - - - -Добавлено - - - - -

пойдет так?

- - - - -Добавлено - - - - -

в окне прикрипления файлов у меня висят 2 файла, как их удалить? 943.6 Кб of 976.6 Кб Used

[thyrex]

Логи прикрепляйте через кнопку Расширенный режим

Выполните скрипт в AVZ

Код:

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\csrcs.exe');
 QuarantineFile('C:\Windows\csrcs.exe','');
 DeleteFile('C:\Windows\csrcs.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузку компьютера выполните вручную.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

+ пришлите в архиве примеры шифрованных файлов (через dropmefiles.com)

[ArCticIce]

http://dropmefiles.com/NhNpZ
выполнил

[ArCticIce]

Логи прикрепляйте через кнопку Расширенный режим

там у меня висят старые 2 файла и я не могу их удалить, залить новые не могу, тк выделенного места мало
http://dropmefiles.com/NhNpZ тут примеры файлов шифрованых

[thyrex]

там у меня висят старые 2 файла и я не могу их удалить

Мой кабинет - Вложения и удаляете.

А есть зашифрованные doc или docx файлы?

[ArCticIce]

новые логи
+ excel файлы оригиналы и кодированные http://dropmefiles.com/iOHVE

[thyrex]

И сообщение вымогателя прикрепите к сообщению

[ArCticIce]

готово.

- - - - -Добавлено - - - - -

http://dropmefiles.com/AhX1A тут помощь от drweb, которая обошлась фирме 5300, вдруг вам пригодится в борьбе с шифровальщиками

и описание лечения
Применение.
В любую папку положить файл te225decrypt.exe и, рядом с ним, файл te225pass (прилагается ниже)
Запустить te225decrypt.exe с параметром комстроки -nonames
Т.е. так:
te225decrypt.exe -nonames

На первом шаге утилита запросит показать ей любой один зашифрованный файл подходящего для проверки правильности расшифровки формата.

После этого начнется расшифровка всех зашифр. *.CTB-Locker файлов на доступных дисках.

Возможный также вариант применения:
te225decrypt.exe -nonames -path "D:\Path"
// расшифровывать файлы только в указанном каталоге D:\Path и его подкаталогах.

Расшифровка идет в новые файлы;
по принципу :
"filename.ext.CTB-Locker " (зашифрованный) => "filename.ext" (расшифрованный)
Соответственно, потребуется свободное место, равное общему объему зашифрованных файлов.

С уважением, Аслан Кунашев,
служба технической поддержки компании "Доктор Веб".

- - - - -Добавлено - - - - -

подскажите что за файл был C:\Windows\csrcs.exe, я его пытался из диспетчера задач убрать, но он запускался снова!

[thyrex]

Т.е. в прошлый раз было обращение с файлами с таким же новым расширением?

[ArCticIce]

в этот раз то ли мне показалось, что опять начал работать шифровальщик, на глаза попался процесс :\Windows\csrcs.exe, я вырубил комп и сделал резервные копии всех баз данных, загрузившись с win PE. Прошлый раз 12.05.2017 файлы удалось расшифровать. Вопрос остался: что за процесс был :\Windows\csrcs.exe????? 70-90% процессора "жрал"!

[thyrex]

Вам поможет https://decrypter.emsisoft.com/amnesia
Файл с ключом https://www.sendspace.com/file/23ifl9 поместить в папку с дешифратором

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены