Поймал шифровальщик Trojan-Ransom.Win32.Crusis.to

**grynyk** · 30.03.2019, 17:59

Добрый день всем,
с работы позвонили, что перестала 1С работать...
приехал, смотрю, а все файлы в формате .id-20832639.[[email protected]].ms13

Скачал утилиту KVRT от Касперского, обнаружен вирус Trojan-Ransom.Win32.Crusis.to
утилита вирус удалила, но файлы так и остались все зашифрованные (((

Прилагаю все файлы с пункта 2:

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.03.2019, 18:00

Уважаемый(ая) grynyk, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 30.03.2019, 18:15

Расшифровки нет, можем почистить мусор от шифровальщика.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**grynyk** · 30.03.2019, 18:24

Спасибо за ответ...
а может со временем появится расшифровщик? Или файлы все удалять?

**Vvvyg** · 30.03.2019, 22:57

Появится, если ключи вымогателей попадут в антивирусные компании или правоохранителям. Иначе даже теоретической вероятности нет.

Собственно, и чистить нечего особо.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \БУМ (M.E.Doc IS).lnk"         -> ["C:\ProgramData\MedocIS\MedocIS\ezvitlb.bat"]
>>>  "C:\Users\Наталя\AppData\Roaming\Microsoft\Windows\SendTo\Clip2net.lnk"     -> ["C:\Program Files (x86)\Clip2Net\Clip2Net.exe"]
>>>  "C:\Users\Administrator\Desktop\CL-Works.lnk"           -> ["C:\Program Files (x86)\CAS\CL-Works\CL-Works.exe"]
>>>  "C:\Users\Галя\Desktop\CL-Works.lnk"          -> ["C:\Program Files (x86)\CAS\CL-Works\CL-Works.exe"]
>>>  "C:\Users\Богдан\Desktop\CL-Works.lnk"        -> ["C:\Program Files (x86)\CAS\CL-Works\CL-Works.exe"]
>>>  "C:\Users\Богдан\Desktop\Запустити M.E.Doc IS.lnk"      -> ["C:\ProgramData\MedocIS\MedocIS\ezvit.exe"]
>>>  "C:\Users\Слава\Desktop\Запустити M.E.Doc IS.lnk"       -> ["C:\ProgramData\MedocIS\MedocIS\ezvit.exe"]
>>>  "C:\Users\Слава\Desktop\Податкова звітність.lnk"        -> ["C:\opz\MAIN.HTA"]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OLE-сервер MIHI-ФП6\Удалить.lnk"      -> ["C:\Program Files (x86)\OLE-сервер MIHI-ФП6\uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OLE-сервер MIHI-ФП6\1. Демонстрация и настройка.lnk"          -> ["C:\Program Files (x86)\OLE-сервер MIHI-ФП6\ServisMini_FP6.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OLE-сервер MIHI-ФП6\2. Демонстрация печати чеков.lnk"         -> ["C:\Program Files (x86)\OLE-сервер MIHI-ФП6\CheckPrint.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OLE-сервер MIHI-ФП6\3. Руководство программиста.lnk"          -> ["C:\Program Files (x86)\OLE-сервер MIHI-ФП6\Руководство программиста.rtf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \M.E.Doc IS.lnk"     -> ["C:\ProgramData\MedocIS\MedocIS\ezvit.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Опис форматів експорту-імпорту\Імпорт в форматі ZDI.lnk"    -> ["C:\ProgramData\MedocIS\MedocIS\help\manuals\Инструкция по ZDI (текстовый формат).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Опис форматів експорту-імпорту\Імпорт контрагентів DBF.lnk"           -> ["C:\ProgramData\MedocIS\MedocIS\help\manuals\Инструкция по импорту Контрагентов (DBF).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Опис форматів експорту-імпорту\Імпорт співробітників DBF.lnk"         -> ["C:\ProgramData\MedocIS\MedocIS\help\manuals\Инструкция по импорту Сотрудников (DBF).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Опис форматів експорту-імпорту\Експорт квитанцій в DBF.lnk"           -> ["C:\ProgramData\MedocIS\MedocIS\help\manuals\Инструкция по экспорту квитанций (DBF).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Опис форматів експорту-імпорту\Використання технології СОМ.lnk"       -> ["C:\ProgramData\MedocIS\MedocIS\help\manuals\Инструкция по СОМ объектам.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Опис форматів експорту-імпорту\Імпорт універсальний (Excel).lnk"      -> ["C:\ProgramData\MedocIS\MedocIS\help\manuals\Инструкция по универсальному импорту.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Опис форматів експорту-імпорту\Імпорт документу ЄСВ.lnk"    -> ["C:\ProgramData\MedocIS\MedocIS\help\manuals\Структура файлов импорта таблиц (5-9) Додатка 4, ЕСВ (DBF).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Опис форматів експорту-імпорту\Імпорт документу РПН.lnk"    -> ["C:\ProgramData\MedocIS\MedocIS\help\manuals\Структура файлов импорта Реестра НН (DBF, TXT).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Сервіс\Медок IS Інформер.lnk"           -> ["C:\ProgramData\MedocIS\MedocIS\ezvitInfo.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Сервіс\Налаштування програми.lnk"       -> ["C:\ProgramData\MedocIS\MedocIS\ConfigTool.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc IS \Сервіс\Менеджер архіву програми.lnk"    -> ["C:\ProgramData\MedocIS\MedocIS\BackupManager.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Опис форматів експорту-імпорту\Використання технології СОМ.lnk"         -> ["C:\ProgramData\Medoc\Medoc_2\help\manuals\Инструкция по СОМ объектам.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Help and HOW-TO.lnk"   -> ["C:\Program Files (x86)\SpeedFan\speedfan.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Release info.lnk"      -> ["C:\Program Files (x86)\SpeedFan\speedfan.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Uninstall SpeedFan.lnk"          -> ["C:\Program Files (x86)\SpeedFan\uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtSoft\ArtSoft Maria 301MTM OLE\ArtSoft Maria 301MTM OLE в интернете.lnk"        -> ["C:\Program Files (x86)\ArtSoft\Maria301MTM\ArtSoftMariaOLE.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtSoft\ArtSoft Maria 301MTM OLE\Удалить ArtSoft Maria 301MTM OLE.lnk"  -> ["C:\Program Files (x86)\ArtSoft\Maria301MTM\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtSoft\ArtSoft Maria 301MTM OLE\ArtSoft Maria 301MTM OLE документация.lnk"       -> ["C:\Program Files (x86)\ArtSoft\Maria301MTM\ArtSoftMariaOLE.doc"]
>>>  "C:\Users\Слава\Desktop\На видалення\2587205446_2587205446 - Ярлык.lnk"     -> ["C:\Users\Слава\Desktop\2587205446_2587205446.crt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtSoft\ArtSoft Exellio FPU-550 OLE\ArtSoft Exellio FPU-550 OLE в интернете.lnk"  -> ["C:\Program Files (x86)\ArtSoft\ExellioFPU-550\ArtSoftFPU-550OLE.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtSoft\ArtSoft Exellio FPU-550 OLE\Удалить ArtSoft Exellio FPU-550 OLE.lnk"      -> ["C:\Program Files (x86)\ArtSoft\ExellioFPU-550\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtSoft\ArtSoft Exellio FPU-550 OLE\ArtSoft Exellio FPU-550 OLE документация.lnk"           -> ["C:\Program Files (x86)\ArtSoft\ExellioFPU-550\ArtSoftFPU-550OLE.doc"]
>>>  "C:\Users\Слава\Desktop\На видалення\LanScope.lnk"      -> ["C:\Program Files (x86)\LanTricks\LanScope\LanScope.exe"]
>>>  "C:\Users\АптекаМенеджер\AppData\Roaming\Microsoft\Windows\SendTo\Clip2net.lnk"       -> ["C:\Program Files (x86)\Clip2Net\Clip2Net.exe"]
>>>  "C:\Users\Слава\Desktop\На видалення\Адамовська_Уляна_Іванівна_1 - Ярлык.lnk"         -> ["C:\Users\Слава\AppData\Local\Temp\12\Адамовська_Уляна_Іванівна_1.cer"]
>>>  "C:\Users\Слава\Desktop\На видалення\Адамовська_Уляна_Іванівна_2 - Ярлык.lnk"         -> ["C:\Users\Слава\AppData\Local\Temp\12\Адамовська_Уляна_Іванівна_2.cer"]
>>>  "C:\Users\Наталя\Desktop\CL-Works - Ярлык.lnk"          -> ["C:\Program Files (x86)\CAS\CL-Works\CL-Works.exe"]
>>>  "C:\Users\Слава\AppData\Roaming\Microsoft\Windows\SendTo\Clip2net.lnk"      -> ["C:\Program Files (x86)\Clip2Net\Clip2Net.exe"]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\SendTo\Clip2net.lnk"        -> ["C:\Program Files (x86)\Clip2Net\Clip2Net.exe"]
>>>  "C:\Users\Кіоск\Desktop\UniFi.lnk"  -> ["C:\Users\Кіоск\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\Ресторан\Desktop\UniFi.lnk"         -> ["C:\Users\Ресторан\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\Піцерія\Desktop\UniFi.lnk"          -> ["C:\Users\Піцерія\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\Галя\Desktop\UniFi.lnk"   -> ["C:\Users\Галя\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\Люба\Desktop\UniFi.lnk"   -> ["C:\Users\Люба\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\Богдан\Desktop\UniFi.lnk"           -> ["C:\Users\Богдан\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\Стас\Desktop\UniFi.lnk"   -> ["C:\Users\Стас\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\АптекаКаса1\Desktop\UniFi.lnk"      -> ["C:\Users\АптекаКаса1\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\АптекаКаса2\Desktop\UniFi.lnk"      -> ["C:\Users\АптекаКаса2\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\Завмаг\Desktop\UniFi.lnk"           -> ["C:\Users\Завмаг\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\Наталя\Desktop\UniFi.lnk"           -> ["C:\Users\Наталя\Ubiquiti UniFi\lib\ace.jar"  =>> ui]
>>>  "C:\Users\АптекаМенеджер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Skype (2).lnk"     -> ["C:\Program Files (x86)\Skype\Phone\Skype.exe"]
>>>  "C:\Users\Слава\Desktop\FreeZvit.lnk"         -> ["C:\FreeZvit\FreeZvit.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\M.E.Doc.lnk"          -> ["C:\ProgramData\Medoc\Medoc_2\ezvit.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\M.E.Doc Консультант.lnk"        -> ["C:\ProgramData\Medoc\Medoc_2\Assistant\assistant.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Шаблони форм для імпорту\MEDod1.xls.lnk"  -> ["C:\ProgramData\Medoc\Medoc_2\tmpl\EXP_IMP\MEDod1.xls"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Шаблони форм для імпорту\MEDod5.xls.lnk"  -> ["C:\ProgramData\Medoc\Medoc_2\tmpl\EXP_IMP\MEDod5.xls"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Шаблони форм для імпорту\MEDod8.xls.lnk"  -> ["C:\ProgramData\Medoc\Medoc_2\tmpl\EXP_IMP\MEDod8.xls"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Шаблони форм для імпорту\MEDodOK.xls.lnk"           -> ["C:\ProgramData\Medoc\Medoc_2\tmpl\EXP_IMP\MEDodOK.xls"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Шаблони форм для імпорту\MEJ0500202.xls.lnk"        -> ["C:\ProgramData\Medoc\Medoc_2\tmpl\EXP_IMP\MEJ0500202.xls"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Шаблони форм для імпорту\MERst_NN.xls.lnk"          -> ["C:\ProgramData\Medoc\Medoc_2\tmpl\EXP_IMP\MERst_NN.xls"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Шаблони форм для імпорту\MERst_NN_08.xls.lnk"       -> ["C:\ProgramData\Medoc\Medoc_2\tmpl\EXP_IMP\MERst_NN_08.xls"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Опис форматів експорту-імпорту\Імпорт в форматі ZDI.lnk"      -> ["C:\ProgramData\Medoc\Medoc_2\help\manuals\Инструкция по ZDI (текстовый формат).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Опис форматів експорту-імпорту\Імпорт контрагентів DBF.lnk"   -> ["C:\ProgramData\Medoc\Medoc_2\help\manuals\Инструкция по импорту Контрагентов (DBF).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Опис форматів експорту-імпорту\Імпорт співробітників DBF.lnk"           -> ["C:\ProgramData\Medoc\Medoc_2\help\manuals\Инструкция по импорту Сотрудников (DBF).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Опис форматів експорту-імпорту\Експорт квитанцій в DBF.lnk"   -> ["C:\ProgramData\Medoc\Medoc_2\help\manuals\Инструкция по экспорту квитанций (DBF).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Опис форматів експорту-імпорту\Імпорт універсальний (Excel).lnk"        -> ["C:\ProgramData\Medoc\Medoc_2\help\manuals\Инструкция по универсальному импорту.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Опис форматів експорту-імпорту\Імпорт документу ЄСВ.lnk"      -> ["C:\ProgramData\Medoc\Medoc_2\help\manuals\Структура файлов импорта таблиц (5-9) Додатка 4, ЕСВ (DBF).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Опис форматів експорту-імпорту\Імпорт документу РПН.lnk"      -> ["C:\ProgramData\Medoc\Medoc_2\help\manuals\Структура файлов импорта Реестра НН (DBF, TXT).pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Опис форматів експорту-імпорту\Формування файлів импорту DBF для Форми 1 ДФ.lnk"  -> ["C:\ProgramData\Medoc\Medoc_2\help\manuals\Інструкція з формування файлів импорту DBF для Форми 1 ДФ.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Сервіс\Медок Інформер.lnk"      -> ["C:\ProgramData\Medoc\Medoc_2\ezvitInfo.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Сервіс\Налаштування програми.lnk"         -> ["C:\ProgramData\Medoc\Medoc_2\ConfigTool.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\M.E.Doc 2\Сервіс\Менеджер архіву програми.lnk"      -> ["C:\ProgramData\Medoc\Medoc_2\BackupManager.exe"]

Отчёт о работе прикрепите.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Поймал шифровальщик Trojan-Ransom.Win32.Crusis.to (заявка № 222399)

Опции темы