Шифровальщик Trojan.encoder.35534

**VorobevMaxim** · 18.01.2023, 15:16

Имеем 2 сервера физический и виртуальный.
С виртуального примерно осенью переезжали на физический.
Сегодня обнаружили что данные на физическом и виртуальном сервере зашифрованы. шифровальщик меняет расширение файлов.
Прислали образец файлов в доктор вэб там определили его как Trojan.encoder.35534 и дешифратора нет.
Прошлись KVRT по физическому серверу обнаруженные вирусы поместили в карантин и там нейтрализовали. На виртуальном KVRT не отработал.
в вложении логи с виртуального сервера и пример заражённых файлов

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.01.2023, 15:18

Уважаемый(ая) VorobevMaxim, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 18.01.2023, 15:53

Расшифровки и какой-либо информации по данному шифровальщику нет.
Логи не те выложили, нужен архив CollectionLog-YYYY.MM.DD-HH.MM.zip.

**VorobevMaxim** · 18.01.2023, 17:11

Спасибо.
Да писали еще в касперского им именно логи нужны были.
В изначальный пост закинул нужный архив

**VorobevMaxim** · 19.01.2023, 13:04

пытаюсь подгрузить архив AVZ по ссылке запроса карантина.
архив в формате zip пароль стоит, архив в 74 Мб не грузит говорит слишком большой.
Здесь можно ссылку на сторонее облако выкладывать?

**Vvvyg** · 19.01.2023, 13:17

Вы явно не то пытаетесь загрузить, логи не более 100 Кб занимают. Перечитайте правила, запускать надо Autologger.
Не 8-й стандартный скрипт выполняли, Скрипт сбора файлов для экспресс-анализа ПК"?
Выложите в облако, ссылку в личку отправьте.

**VorobevMaxim** · 19.01.2023, 14:22

у меня над веткой есть красная надпись "прислать запрошенный карантин" и если по ней пройти то просит именно автокарантин AVZ.
Логи в виде архива автологера есть в начальном посте ветки.
архивы и от того и от того в личку отправил.

**Vvvyg** · 19.01.2023, 15:27

Логи Autologger не увидел сразу, 1-е сообщение отредактировано.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\GitLab-Runner\explorer.exe', '64');
 DeleteFile('C:\Users\All Users\VMware\logs\fontdrvhost.exe', '64');
 DeleteFile('C:\Users\Default\Мои документы\csrss.exe', '64');
 DeleteFile('C:\Users\srv_user01\AppData\Local\Bigspermhorseballs_Decryption.txt', '64');
 DeleteFile('C:\Users\srv_user01\MediaGet2\mediaget.exe', '32');
 DeleteFile('C:\Users\srv_user01\MediaGet2\mediaget.exe', '64');
 DeleteFileMask('c:\users\srv_user01\mediaget2', '*', true);
 DeleteDirectory('c:\users\srv_user01\mediaget2');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MediaGet2', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MediaGet2', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Defender.exe', '64');
 DeleteSchedulerTask('ApplicationFrameHostA');
 DeleteSchedulerTask('browser_assistantb');
 DeleteSchedulerTask('browserb');
 DeleteSchedulerTask('conhostc');
 DeleteSchedulerTask('csrssc');
 DeleteSchedulerTask('DW20D');
 DeleteSchedulerTask('dwmd');
 DeleteSchedulerTask('explorere');
 DeleteSchedulerTask('fontdrvhostf');
 DeleteSchedulerTask('OneDrive Reporting Task-S-1-5-21-1634447035-4183127705-1185796605-1030');
 DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-1634447035-4183127705-1185796605-1014');
 DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-1634447035-4183127705-1185796605-1030');
 DeleteSchedulerTask('Opera scheduled assistant Autoupdate 1592297915');
 DeleteSchedulerTask('Opera scheduled Autoupdate 1591115480');
 DeleteSchedulerTask('Opera scheduled Autoupdate 1619422505');
 DeleteSchedulerTask('SearchFilterHostS');
 DeleteSchedulerTask('SearchProtocolHostS');
 DeleteSchedulerTask('SearchUIS');
 DeleteSchedulerTask('ShellExperienceHostS');
 DeleteSchedulerTask('WINWORDW');
 DeleteSchedulerTask('Обновление Браузера Яндекс');
ExecuteSysClean;
 ExecuteRepair(7);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 3, 3, true);
end.

Пожалуйста, перезагрузите сервер вручную.

Это почистит от шифровальщика, дальше продолжайте на форуме kaspersky club.

**VorobevMaxim** · 19.01.2023, 15:44

Спасибо.
Запустили на виртуальном сервере.

**Vvvyg** · 19.01.2023, 15:57

И ещё момент, на внешнем ip адресе, с которого Вы пишете на форуме, открыт веб интерфейс роутера TP-Link Archer C50. Крайне не рекомендуется так делать, могли взломать.

Шифровальщик Trojan.encoder.35534 (заявка № 227977)

Опции темы