Шифровальщик XINOF [HEUR:Trojan.Win32.Generic]

[Андрей Уланов]

Здравствуйте. Взломали сервер windows с RDP. Шифрует все без разбора. Зашифровал флешку с 2k10. Добавился с автозагрузку, при старте системы показывает экран обновления windows. Отключил диспетчер задач, отключил клик правой кнопки мыши. Соответсвенно не могу сделать лог по инструкции. С помощью загрузочной флешки вытащил файл самого вируса, поврежденный им файл и лог с AVZ сделал. Прошу помощи вашей и надеюсь что будет результат, погуглив результат не очень впечатляет. Заранее спасибо. Прикрепляю лог AVZ, поврежденный файл. Если надо могу перекинуть возможно исполняемый файл шифровальщика.

[Info_bot]

Уважаемый(ая) Андрей Уланов, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Лог AVZ с неактивной системы бесполезен, тем более текстовый.

Скачайте утилиту Universal Virus Sniffer отсюда, поместите на загрузочную флэшку с WinPE, загрузитесь с неё, запустите файл start.exe, пункт "Выберите каталог Windows (выбрана активная система)", укажите папку Windows на проблемном HDD. Далее в главном меню программы выбираете пункт: Файл -> Cохранить полный образ автозапуска. Лог сохраните в удобной для Вас папке. Если образ автоматически был упакован в архив 7z, то дополнительно упаковывать и перепаковывать не надо, если же у Вас получился обычный текстовый файл, добавьте его в архив RARили 7-zip и прикрепите к сообщению, или загрузите в доступное облачное хранилище/файлообменник без капчи и дайте ссылку.

[Андрей Уланов]

Я не стал лишних действий делать. AVZ вроде как работает с целевым каталогом системы. Но спорить не буду. Все выполнил.
https://yadi.sk/d/AMpvCSvp1HmyYw

Лог AVZ с неактивной системы бесполезен, тем более текстовый.

Скачайте утилиту Universal Virus Sniffer отсюда, поместите на загрузочную флэшку с WinPE, загрузитесь с неё, запустите файл start.exe, пункт "Выберите каталог Windows (выбрана активная система)", укажите папку Windows на проблемном HDD. Далее в главном меню программы выбираете пункт: Файл -> Cохранить полный образ автозапуска. Лог сохраните в удобной для Вас папке. Если образ автоматически был упакован в архив 7z, то дополнительно упаковывать и перепаковывать не надо, если же у Вас получился обычный текстовый файл, добавьте его в архив RARили 7-zip и прикрепите к сообщению, или загрузите в доступное облачное хранилище/файлообменник без капчи и дайте ссылку.

- - - - -Добавлено - - - - -

Есть еще ключи. Приватный и публичный. Могу прикрепить.

[Vvvyg]

Ключи не помогут, исполняемый файл шифровальщика для расшифровки тоже не поможет в общем случае, т. е. при грамотно реализованном алгоритме.
Загрузитесь с флэшки, откройте каталог неактивной системы и Скрипты -> выполнить скрипт из буфера обмена, код сохраните заранее, выделите и Ctrl-C:

Код:

;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XINOF.EXE
addsgn 9252773A1C6AC1CC0BA4584EA34FDE122B8A57532EC848939453552CC046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 XINOF 7

zoo %SystemDrive%\PROGRAMDATA\XINOF.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XINOF.EXE
chklst
delvir

regt 35
;---------command-block---------
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HELP.TXT
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HELP.TXT
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW TO DECRYPT FILES.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW TO DECRYPT FILES.HTA
deltmp
czoo
apply

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[Андрей Уланов]

Карантин отправил. Приклепляю логи.

[Vvvyg]

Шифровальщик зачищен. Грузите систему.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

[Андрей Уланов]

Лог AVZ.

[Vvvyg]

Установите новый Internet Explorer
https://windows.microsoft.com/ru-ru/...er/download-ie

Накопительное обновление системы безопасности для битов аннулирования ActiveX
https://www.microsoft.com/downloads/...c-43c6dd6cb78e

Уязвимость в MSXML делает возможным удаленное выполнение кода
https://www.microsoft.com/downloads/...f-2f599fe6fdd9

Желательно установить обновления по ссылкам.

Важно устранить возможность повторного взлома. Для этого необходимо:

1. Сменить всем, у кого есть права входа по RDP, пароли, установите сложные.

2. Убрать права администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны. Не
будет, в частности, возможности при проникновении с правами обычного пользователя удалить теневые копии.

3. Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для администрирования через терминал пользуйтесь другими, с
нетипичным, лучше не словарным (типа Natasha, Kirill) именем и сложными паролями.

4. Включить защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа. Есть более продвинутые варианты с использованием стороннего софта, например: Инструкция по защите RDP подключения, или возможностей маршрутизатора, для Mikrotik, в частности, есть множество изощрённых рецептов.

5. Задуматься о внедрении NLA и/или использования какого-либо варианта подключения по VPN. Просто терминальный доступ, даже по нестандартному порту крайне не рекомендуется использовать, если не взломают то заблокируют доступ легитимным пользователям.

6. Ну, и бэкап, бэкап, и ещё раз бэкап, хранящийся там куда шифровальщик не доберётся, отключаемые внешние носители и т. п.

[Андрей Уланов]

Спасибо. Это я все виделю устраню. Сервак дома находится у клиента и у многих из есть доступ. Они иногда думают, что сами все могут сделать. В итоге за пару лет наковыряли много. Когда все ставил, нормально было. Просил даже со стороны людей неглупых посмотреть. Итог пришлось ехать к рыдающему директору. Подскажите, по итогу шанс на восстановление есть? Что нужно сделать? Если небходимо офрмить подписку, не проблема.

Желательно установить обновления по ссылкам.

Важно устранить возможность повторного взлома. Для этого необходимо:

1. Сменить всем, у кого есть права входа по RDP, пароли, установите сложные.

2. Убрать права администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны. Не
будет, в частности, возможности при проникновении с правами обычного пользователя удалить теневые копии.

3. Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для администрирования через терминал пользуйтесь другими, с
нетипичным, лучше не словарным (типа Natasha, Kirill) именем и сложными паролями.

4. Включить защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа. Есть более продвинутые варианты с использованием стороннего софта, например: Инструкция по защите RDP подключения, или возможностей маршрутизатора, для Mikrotik, в частности, есть множество изощрённых рецептов.

5. Задуматься о внедрении NLA и/или использования какого-либо варианта подключения по VPN. Просто терминальный доступ, даже по нестандартному порту крайне не рекомендуется использовать, если не взломают то заблокируют доступ легитимным пользователям.

6. Ну, и бэкап, бэкап, и ещё раз бэкап, хранящийся там куда шифровальщик не доберётся, отключаемые внешние носители и т. п.

[Vvvyg]

Не нужно полностью цитировать сообщения, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ".

Грамотно реализованный криптоалгоритм не даёт шансов на расшифровку без ключа, который только у злоумышленников. Бывают случаи, когда злодеев накрывали и ключи и программу расшифровки выкладывали, либо злодеи сами это делали, когда больше не получали доход.
Так что шансов на данный момент никаких.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 6
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. \xinof.exe._4adec84275a057a4919964ad7b9f5d2f2fba79 49 - HEUR:Tr=
     ojan.Win32.Generic