Вирус зашифровал все файлы с расширение *CRYPTO [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen, Trojan-Downloader.VB= S.Agent.ber]

**lexter007** · 28.11.2018, 08:36

Помогите пожалуйста расшифровать файлы. Лог программы прикрепил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.11.2018, 08:37

Уважаемый(ая) lexter007, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 29.11.2018, 04:30

Здравствуйте,

Мы не можем гарантировать, что сможем помочь вам с расшифровкой.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Local Security Authority Process.exe','');
 QuarantineFile('C:\Users\КрыгинаН\AppData\Roaming\Tempo\DOC001.exe','');
BC_ImportQuarantineList;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**lexter007** · 29.11.2018, 07:20

Спасибо, что просто помогаете. Все сделал как просили. Прошу прощения, карантин не туда загрузил.

SQ · 29.11.2018, 08:32

К сожалению с данным типом шифровальщика скорее всего не поможем с расшифровкой.

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1031816772-1046381859-1296593770-500\...\Run: [smBqa] => C:\Users\Администратор\HOW TO RECOVER ENCRYPTED FILES.TXT [1948 2018-11-28] ()
Startup: C:\Users\КрыгинаН\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2018-11-26]
ShortcutTarget: explorer.lnk -> C:\Users\Администратор\AppData\Roaming\Tempo\DOC001.exe (No File)
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\SQLSERVERAGENT\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ReportServer\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MSSQLServerOLAPService\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MSSQLSERVER\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MSSQLFDLauncher\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MsDtsServer110\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:24 - 2018-11-28 01:24 - 000001948 _____ C:\Program Files (x86)\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:18 - 2018-11-28 01:18 - 000001948 _____ C:\Program Files\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:08 - 2018-11-28 08:35 - 000001948 _____ C:\Users\Администратор\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:08 - 2018-11-28 01:08 - 000001948 _____ C:\Users\Администратор\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:08 - 2018-11-28 01:08 - 000001948 _____ C:\Users\Администратор\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
Zip: C:\Users\КрыгинаН\AppData\Roaming\temp.bat;C:\Users\КрыгинаН\AppData\Roaming\offline.txt
2018-11-26 10:43 - 2018-11-26 13:31 - 000000026 _____ C:\Users\КрыгинаН\AppData\Roaming\temp.bat
Folder: C:\Users\КрыгинаН\AppData\Roaming\Tempo
2018-11-26 10:40 - 2017-06-04 20:01 - 000000000 __RSH C:\Users\КрыгинаН\AppData\Roaming\cppredistx86.exe
Folder: C:\Users\КрыгинаН\AppData\Roaming\NsMiner
Folder: C:\Users\Администратор\WINDOWS
2018-11-28 01:18 - 2018-11-28 01:18 - 000001948 _____ () C:\Program Files\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-11-28 01:24 - 2018-11-28 01:24 - 000001948 _____ () C:\Program Files (x86)\HOW TO RECOVER ENCRYPTED FILES.TXT
File: C:\Users\Администратор\AppData\Roaming\Local Security Authority Process.exe
End::

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**lexter007** · 29.11.2018, 10:27

Почему то не могу загрузить в карантин, пишет, файл уже загружен. Вот прикрепил в теме.

SQ · 29.11.2018, 10:40

Согласно логу fixlog.txt вы сохранили скрипт фикса без поддержки unicode (юникод), так как русские символы (кириллица) представленны ввиде иероглифов.

**lexter007** · 29.11.2018, 10:56

Ой, ошибочка. Вот в Юникоде

SQ · 29.11.2018, 18:41

Этот батник Вам известен?

Код:

C:\Users\КрыгинаН\AppData\Roaming\temp.bat

Тут похоже на майниг, что из этого Вам знакомо?

Код:

2018-10-17 18:17 - 2018-10-17 18:17 - 001522176 ____A [30843CDD1E1EB312D1CCE94C3C826C88] (www.xmrig.com) C:\Users\КрыгинаН\AppData\Roaming\Tempo\NsCpuCNMiner32.exe
2018-10-17 18:24 - 2018-10-17 18:24 - 001075200 ____A [2F4E3381E0CD64B0330D509D6916B940] (www.xmrig.com) C:\Users\КрыгинаН\AppData\Roaming\Tempo\NsCpuCNMiner64.exe

2018-11-26 08:37 - 2016-10-10 14:11 - 000585883 ____A [43E42D7948C5DC237869786CCB39720A] () C:\Users\КрыгинаН\AppData\Roaming\NsMiner\IMG001.exe
2018-11-26 10:40 - 2018-11-26 10:40 - 000045593 ____A [EBAFD0A5EF13AE119234B11109D3E0B5] () C:\Users\КрыгинаН\AppData\Roaming\NsMiner\IMG004.exe

- - - - -Добавлено - - - - -

Если Вам ничего из этого (майнинга) не известно, то выполните следующее:

Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
Start::
CreateRestorePoint:
Zip: C:\Users\КрыгинаН\AppData\Roaming\NsMiner;C:\Users\КрыгинаН\AppData\Roaming\Tempo
C:\Users\КрыгинаН\AppData\Roaming\NsMiner
C:\Users\КрыгинаН\AppData\Roaming\Tempo
End::
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**lexter007** · 30.11.2018, 07:12

Про майнинг вообще ничего не известно, то есть на сервере не было майнинга.

Архив загрузил по ссылке, во вложения не влез.

SQ · 30.11.2018, 08:31

Сообщение от lexter007

Про майнинг вообще ничего не известно, то есть на сервере не было майнинга.

Вот детекты Virustotal:
https://www.virustotal.com/#/file/75...cced/detection
https://www.virustotal.com/#/file/b8...25e1/detection
https://www.virustotal.com/#/file/be...540f/detection
https://www.virustotal.com/#/file/6e...2327/detection

В логах больше ничего плохого не найдено, к сожалению с расшифровкой не поможем. Если есть лицензии к антивирусным продуктам пробуйте обратиться к вендорам за помощью. Если есть лицензия на продукта Kaspersky Lab пробуйте к ним тоже обратиться.

P.S. Не удаляйте каратин C:\FRST пока не решите вопрос с расшифровкой.

**CyberHelper** · 30.11.2018, 08:41

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 4
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. \nsminer\img001.exe - Trojan-Downloader.VBS.Agent.ber ( B=
  itDefender: Application.BitCoinMiner.IG, AVAST4: Win32:Malware-gen )
2. \nsminer\img004.exe - UDS:Trojan-Downloader.Win32.Generic=
  ( AVAST4: Win32:Malware-gen )
3. \tempo\nscpucnminer32.exe - not-a-virus:HEUR:RiskTool.Win32.B=
  itCoinMiner.gen ( AVAST4: Win32:CryptoMiner-L [Trj] )
4. \tempo\nscpucnminer64.exe - not-a-virus:HEUR:RiskTool.Win32.B=
  itCoinMiner.gen ( AVAST4: Win32:CryptoMiner-L [Trj] )

Вирус зашифровал все файлы с расширение *CRYPTO [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen, Trojan-Downloader.VB= S.Agent.ber] (заявка № 220996)

Опции темы