Шифровальщик Omerta

[vlad_1976]

Здравствуйте! С утра пришел на работу и увидел, что большая часть файлов имеет расширение omerta. В воскресенье все было еще живо.
Не могу найти откуда что пришло. Текстовый файл "READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT" появился в примерно в час ночи. Никого на работе в это время не было. Помогите пожалуйста!!!

[Info_bot]

Уважаемый(ая) vlad_1976, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\AudioFiX.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.



- Подготовьте лог AdwCleaner и приложите его в теме.

[vlad_1976]

Доброго дня! Карантин загрузил.
Файл сохранён как 180828_054013_quarantine_5b84e03d0758a.zip
Размер файла 442532
MD5 f020c25ae7928ba8c63b181cdb5a2655

[SQ]

Найдено новое вредоносное ПО - Trojan:Win32/Zpevdo.A (Microsoft)


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\AudioFiX.exe','');
 DeleteFile('C:\Windows\AudioFiX.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Windows Audio fix" /F', 0, 15000, true); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Далее продолжите тут: https://virusinfo.info/showthread.php?t=220043

[vlad_1976]

Уважаемый SQ, сегодня посмотрел какие учетные записи открыты на моем компе. Так вот, учетная запись Гость у меня отключена. это по поводу записи Владелец в свойствах текстового файла, созданного вымогателями.

- - - - -Добавлено - - - - -

А вот файл зашифрованный omerta, во вкладке Владелец имеет такую запись S-1-5-21-1060284298-1004336348-725345543-1003

- - - - -Добавлено - - - - -

Вот сегодня сработал антивирус в 12.56

- - - - -Добавлено - - - - -

первоисточник не нашел. А также нет у нас машин с английской ОС

- - - - -Добавлено - - - - -

в логах Kerio в 12.56 обнаружил такую запись [03/Sep/2018 12:56:38] Found virus in mail from <[email protected]> to <andrey@******>: VIRUS: Trojan.GenericKD.40444523

[SQ]

Похоже, кому-то решили отправить вирус, лучше это письмо не открывать. По пробуйте найти запись антивируса почтового сервера на день заражения.

- - - - -Добавлено - - - - -

Тема публичная, я вам советую скрыть домен почтовых писем, чтобы злоумышлинники не воспользовались еще раз и не отправили вам новый вирус.

[vlad_1976]

смотрю логи, но пока ничего не вижу подобного. Если заражение началось примерно в 1.51 ночи, искать надо до этого времени или есть вариант, что письмо после этого времени пришло?

[SQ]

После не могло бы, разве, что если время не синхронизированно.

[vlad_1976]

А что по поводу Владельца файлов? Есть мнение?

[SQ]

А что по поводу Владельца файлов? Есть мнение?

По Sid не реально определить пользователи и ПК, так как у Вас не используется AD. Тут разве, что смотреть логи на ПК, если записаны входы по SMB.

[vlad_1976]

Просмотрел все компьютеры, отсмотрел логи Kerio, ничего, пусто. Как-будто ничего и небыло. 2 дня тут отсылаются письма с одного и того же ip адреса (про него писал выше), отправил его в черный список и по домену заблокировал. Надеялся, что он обнаружится когда атака была, так и этого там нет.

[SQ]

Ну к сожалению ничем больше помочь не сможем, когда будет ответ от Лаборатории Касперского я Вам сообщу в лс.

[vlad_1976]

Спасибо.
Я создал тему по третьему компьютеру, который был подвержен шифрованию https://virusinfo.info/showthread.ph...28#post1488028