Шифровальщик KRAKEN CRYPTOR

**Skiff7** · 07.09.2018, 10:03

Доброго времени суток. Нужна помощь в избавлении от шифровальщика KRAKEN CRYPTOR. Логи прикладываю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.09.2018, 10:04

Уважаемый(ая) Skiff7, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 08.09.2018, 16:44

Здравствуйте,

HiJackThis (из каталога autologger)профиксить

Код:

O4 - Startup other users: C:\Documents and Settings\adm-t0\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
O4 - Startup other users: C:\Documents and Settings\hast\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
O4 - Startup other users: C:\Documents and Settings\ministrator\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
O4 - Startup other users: C:\Documents and Settings\ms\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
O4 - Startup other users: C:\Documents and Settings\mse\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html
O4 - Startup other users: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\# How to Decrypt Files.html

Знакомы ли следующие сертификаты:

Код:

O7 - Policy: [Untrusted Certificate] 08E4987249BC450748A4A78133CBF041A3510033 - www.live.fi
O7 - Policy: [Untrusted Certificate] 4822824ECE7ED1450C039AA077DC1F8AE3489BBF - NIC Certifying Authority
O7 - Policy: [Untrusted Certificate] C6796490CDEEAAB31AED798752ECD003E6866CB2 - NIC CA 2011
O7 - Policy: [Untrusted Certificate] D2DBF71823B2B8E78F5958096150BFCB97CC388A - NIC CA 2014
O7 - Policy: [Untrusted Certificate] E1F3591E769865C4E447ACC37EAFC9E2BFE4C576 - MCSHOLDING TEST

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Skiff7** · 10.09.2018, 09:20

Здравствуйте, высылаю запрошенные файлы.

- - - - -Добавлено - - - - -

Указанные сертификаты мне незнакомы, но они уже просрочены и находятся в разделе сертификатов к которым нет доверия. Их стоит удалить?

- - - - -Добавлено - - - - -

HiJackThis прогнал.

SQ · 10.09.2018, 16:33

Сообщение от Skiff7

Указанные сертификаты мне незнакомы, но они уже просрочены и находятся в разделе сертификатов к которым нет доверия. Их стоит удалить?

Можете удалить их, если Вам они не требуется в дальнейшем.

- - - - -Добавлено - - - - -

Закройте все открытые приложения и сохраните.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
HKLM\...\Command Processor:  <==== ATTENTION
IFEO\Magnify.exe: [Debugger] cmd.exe
File: %SystemRoot%\system32\NLAapi.dll
File: C:\Documents and Settings\All Users\Application Data\\Windows\Classes\{28065286-ad71-86de-a418-e376c61440db}\msupdpgh.exe
Zip: C:\Documents and Settings\All Users\Application Data\\Windows\Classes\{28065286-ad71-86de-a418-e376c61440db}\msupdpgh.exe
S3 DUMeterDrv; \??\C:\Program Files\DU Meter\DUM_XP32.SYS [X]
2018-09-07 08:25 - 2018-09-07 08:25 - 000004264 ____N C:\Documents and Settings\Администратор.YUG\Мои документы\Decryption Instructions.txt
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор\Мои документы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор\Главное меню\Программы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор\Главное меню\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор.YUG\Мои документы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор.YUG\Главное меню\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\Администратор.YUG\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\hast\Рабочий стол\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\hast\Мои документы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\hast\Главное меню\Программы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\hast\Главное меню\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\hast\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\adm-t0\Рабочий стол\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\adm-t0\Мои документы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\adm-t0\Главное меню\Программы\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\adm-t0\Главное меню\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\adm-t0\# How to Decrypt Files.html
2018-09-07 06:19 - 2018-09-07 06:19 - 000012040 ____N C:\Documents and Settings\# How to Decrypt Files.html
Folder: C:\WINDOWS\system32\NtmsData
2018-01-24 08:58 - 2018-01-24 08:58 - 000001324 ____N () C:\Documents and Settings\Администратор.YUG\Local Settings\Application Data\d3d9caps.tmp
CustomCLSID: HKU\S-1-5-21-499143463-923754463-4197620170-500_Classes\CLSID\{DB450008-9764-11D6-819E-005056C00008}\localserver32 -> C:\Program Files\DU Meter\DUMeterSvc.exe => No File
Folder: C:\Documents and Settings\hast

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что сервер возможно будет перезагружен. Если нет, то перегрузите его вручную.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Замечено много битых служб, они вам знакомы?

Код:

S4 adpu320; no ImagePath
S4 afcnt; no ImagePath
S4 AmdIde; no ImagePath
S4 arc; no ImagePath
S4 cpqarry2; no ImagePath
S4 cpqcissm; no ImagePath
S4 cpqfcalm; no ImagePath
S4 dellcerc; no ImagePath
S4 elxstor; no ImagePath
S4 hpcisss; no ImagePath
S4 hpt3xx; no ImagePath
S4 iirsp; no ImagePath
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S4 ipsraidn; no ImagePath
U3 LicenseInfo; no ImagePath
S4 lp6nds35; no ImagePath
S4 nfrd960; no ImagePath
S4 ql2100; no ImagePath
S4 ql2200; no ImagePath
S4 ql2300; no ImagePath
S4 symmpi; no ImagePath
U1 WS2IFSL; no ImagePath

**Skiff7** · 10.09.2018, 17:33

Высылаю запрошенные файлы. Также забыл сказать что при первоначальной проверке было найдено задание на запуск c:\windows\system32\drivers\etcsvchost.exe. По факту такого файла в указанной папке не было и я его удалил, как подозрительное. Архив пустой. Компьютер перезагрузил.

- - - - -Добавлено - - - - -

По поводу служб не скажу сразу, надо смотреть.

- - - - -Добавлено - - - - -

Извините, не увидел, что карантин надо было прислать по отдельной ссылке, но он все равно пустой.

SQ · 10.09.2018, 17:52

Карантин пустой, в логах нет ничего подозрительного. К сожалениею как было ранее сказано с расшифровкой помочь не сможем.

P.S. Но если у Вас есть лицензии от антивирусных программ, пробуйте обратиться к вендорам за помощью.

- - - - -Добавлено - - - - -

Сообщение от Skiff7

Высылаю запрошенные файлы. Также забыл сказать что при первоначальной проверке было найдено задание на запуск c:\windows\system32\drivers\etcsvchost.exe. По факту такого файла в указанной папке не было и я его удалил, как подозрительное.

Скорее всего шифровальщик выполнил заложенные злоумышлинниками функции и само уничтожился, чтобы не успели отправить его на анализ в антивирусные лаборатории.

**Skiff7** · 11.09.2018, 08:32

Один вопрос. Подскажите, возможные пути проникновения этого шифровальщика на данный комп? На нем нет почтовых программ и интернет браузеры не используются. Спрашиваю, с целью прикрыть уязвимости.

SQ · 11.09.2018, 16:52

Есть прямой доступ к интернету (возможно уязвимость smb)? Либо удаленный доступ по средством RDP (возможно подобрали пароль)?

Шифровальщик KRAKEN CRYPTOR (заявка № 220183)

Опции темы