Поймал вирус-шифровальщик, предположительно Trojan-Encoder.567. Помогите!

**4050876** · 28.02.2020, 10:25

Добрый день! У меня не большой офис. 12.02.2020 в 23.00 (примерно) запустился троян на одном из ПК, прошёлся по системным папкам Диска С и, не тронув ничего кроме личных папок пользователя, переметнулся на сервер, примерно в 23.20. Там зашифровал всё и потом перешёл на третий ПК другого пользователя, там он был уже в районе 00.30. Смотрел по дате и времени изменения файлов. После этого похоже самоудалился. На сервере первым делом поменял ОС, а пользовательские ПК я не трогал. Примерно вот такой текст дописался [[email protected]][3436618300-1581551077].vji и все расширения разные. На двух ПК стоит антивирус AVG, а на сервере стоял просроченный Kaspersky. Помогите решить проблему!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.02.2020, 10:27

Уважаемый(ая) 4050876, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 28.02.2020, 11:22

Здравствуйте!

Увы, это Crysis последних версий, расшифровки нет.

Если нужна помощь в очистке следов, во избежание путаницы работаем по принципу один компьютер - одна тема.
Здесь продолжаем с тем ПК, с которого CollectionLog-2020.02.28-09.24.zip
Лишние логи в этой теме удалите через Мой кабинет - Вложения.

Открытые ресурсы

C:\Users
C:\Users\iyudina\Desktop\Сканы

закройте или дайте доступ по сложному паролю.

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

**mike 1** · 28.02.2020, 11:58

Увы, это Crysis последних версий

Это Cryakl 1.8.0.0

У меня не большой офис. 12.02.2020 в 23.00 (примерно) запустился троян на одном из ПК, прошёлся по системным папкам Диска С и, не тронув ничего кроме личных папок пользователя, переметнулся на сервер, примерно в 23.20. Там зашифровал всё и потом перешёл на третий ПК другого пользователя

Вот так сам? А может началось все с сервера к которому разрешены терминальные подключения?

**Sandor** · 28.02.2020, 12:10

Сообщение от mike 1

Это Cryakl 1.8

Согласен, я ошибся.

**4050876** · 28.02.2020, 12:23

Возможно, не исключаю.

**mike 1** · 28.02.2020, 12:43

Ждем логи, которые запросил Sandor.

**4050876** · 28.02.2020, 13:37

Сообщение от mike 1

Это Cryakl 1.8.0.0

Вот так сам? А может началось все с сервера к которому разрешены терминальные подключения?

Пользователей в это время не было. А через терминалку все работают с 1С. Не исключаю, что ломанули какую-либо учётку.

- - - - -Добавлено - - - - -

Я не пойму, как прикрепить файлы (((

- - - - -Добавлено - - - - -

Собрал ещё логи

**Sandor** · 28.02.2020, 13:52

Администраторы оба ваши?

user (S-1-5-21-3607586132-1602760401-174903552-1001 - Administrator - Enabled) => C:\Users\user
Администратор (S-1-5-21-3607586132-1602760401-174903552-500 - Administrator - Disabled)

Лишнего отключите или удалите.
Смените пароль на RDP.

Далее:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-02-13 01:00 - 2020-02-13 01:00 - 000000075 _____ C:\Users\администратор\README.txt
2020-02-13 01:00 - 2020-02-13 01:00 - 000000075 _____ C:\Users\администратор\Downloads\README.txt
2020-02-13 01:00 - 2020-02-13 01:00 - 000000075 _____ C:\Users\администратор\Documents\README.txt
2020-02-13 01:00 - 2020-02-13 01:00 - 000000075 _____ C:\Users\администратор\Desktop\README.txt
2020-02-13 01:00 - 2020-02-13 01:00 - 000000075 _____ C:\Users\администратор\AppData\Roaming\README.txt
2020-02-13 01:00 - 2020-02-13 01:00 - 000000075 _____ C:\Users\администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-02-13 01:00 - 2020-02-13 01:00 - 000000075 _____ C:\Users\администратор\AppData\README.txt
2020-02-13 01:00 - 2020-02-13 01:00 - 000000075 _____ C:\Users\администратор\AppData\LocalLow\README.txt
2020-02-13 01:00 - 2020-02-13 01:00 - 000000075 _____ C:\Users\README.txt
2020-02-13 00:59 - 2020-02-13 00:59 - 000000075 _____ C:\Users\администратор\AppData\Local\README.txt
2020-02-13 00:59 - 2020-02-13 00:59 - 000000075 _____ C:\Users\user\README.txt
2020-02-13 00:59 - 2020-02-13 00:59 - 000000075 _____ C:\Users\user\Downloads\README.txt
2020-02-13 00:59 - 2020-02-13 00:59 - 000000075 _____ C:\Users\user\Documents\README.txt
2020-02-13 00:59 - 2020-02-13 00:59 - 000000075 _____ C:\Users\user\Desktop\README.txt
2020-02-13 00:59 - 2020-02-13 00:59 - 000000075 _____ C:\Users\user\AppData\Roaming\README.txt
2020-02-13 00:59 - 2020-02-13 00:59 - 000000075 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-02-13 00:59 - 2020-02-13 00:59 - 000000075 _____ C:\Users\user\AppData\README.txt
2020-02-13 00:59 - 2020-02-13 00:59 - 000000075 _____ C:\Users\user\AppData\LocalLow\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\user\AppData\Local\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\Public\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\Public\Downloads\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\Public\Documents\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\Public\Desktop\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\jeka\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\jeka\Downloads\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\jeka\Documents\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\jeka\Desktop\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\jeka\AppData\Roaming\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\jeka\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\jeka\AppData\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\jeka\AppData\LocalLow\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\jeka\AppData\Local\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\iyudina\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\iyudina\Downloads\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\iyudina\Documents\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\iyudina\Desktop\README.txt
2020-02-13 00:58 - 2020-02-13 00:58 - 000000075 _____ C:\Users\iyudina\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-02-13 00:54 - 2020-02-13 00:54 - 000000075 _____ C:\Users\iyudina\AppData\Roaming\README.txt
2020-02-13 00:54 - 2020-02-13 00:54 - 000000075 _____ C:\Users\iyudina\AppData\README.txt
2020-02-13 00:54 - 2020-02-13 00:54 - 000000075 _____ C:\Users\iyudina\AppData\LocalLow\README.txt
2020-02-12 23:58 - 2020-02-12 23:58 - 000000075 _____ C:\Users\iyudina\AppData\Local\README.txt
2020-02-12 23:58 - 2020-02-12 23:58 - 000000075 _____ C:\Users\Gulnaz\README.txt
2020-02-12 23:58 - 2020-02-12 23:58 - 000000075 _____ C:\Users\Gulnaz\Downloads\README.txt
2020-02-12 23:58 - 2020-02-12 23:58 - 000000075 _____ C:\Users\Gulnaz\Documents\README.txt
2020-02-12 23:58 - 2020-02-12 23:58 - 000000075 _____ C:\Users\Gulnaz\Desktop\README.txt
2020-02-12 23:58 - 2020-02-12 23:58 - 000000075 _____ C:\Users\Gulnaz\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-02-12 23:54 - 2020-02-12 23:54 - 000000075 _____ C:\Users\Gulnaz\AppData\Roaming\README.txt
2020-02-12 23:54 - 2020-02-12 23:54 - 000000075 _____ C:\Users\Gulnaz\AppData\README.txt
2020-02-12 23:54 - 2020-02-12 23:54 - 000000075 _____ C:\Users\Gulnaz\AppData\LocalLow\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Gulnaz\AppData\Local\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\firdavis\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\firdavis\Downloads\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\firdavis\Documents\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\firdavis\Desktop\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\firdavis\AppData\Roaming\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\firdavis\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\firdavis\AppData\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\firdavis\AppData\LocalLow\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\firdavis\AppData\Local\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\defaultuser0\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\defaultuser0\Downloads\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\defaultuser0\Documents\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\defaultuser0\Desktop\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\defaultuser0\AppData\Roaming\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\defaultuser0\AppData\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\defaultuser0\AppData\LocalLow\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\defaultuser0\AppData\Local\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default\Downloads\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default\Documents\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default\Desktop\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default\AppData\Roaming\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default\AppData\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default\AppData\Local\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default User\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default User\Downloads\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default User\Documents\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default User\Desktop\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default User\AppData\Roaming\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default User\AppData\README.txt
2020-02-12 23:45 - 2020-02-12 23:45 - 000000075 _____ C:\Users\Default User\AppData\Local\README.txt
FirewallRules: [UDP Query User{A569C7C7-F203-44AB-80B4-9B07C252A0A9}C:\users\gulnaz\downloads\winbox.exe] => (Allow) C:\users\gulnaz\downloads\winbox.exe () [File not signed]
FirewallRules: [TCP Query User{7581E8D4-03DE-4CF7-A0B5-7B679E2B321F}C:\users\gulnaz\downloads\winbox.exe] => (Allow) C:\users\gulnaz\downloads\winbox.exe () [File not signed]
FirewallRules: [UDP Query User{C2BCB516-E1FE-49FA-A625-17D798BE2583}C:\users\администратор\appdata\local\temp\in19e8b0f0\3f3403e1_stp.exe] => (Allow) C:\users\администратор\appdata\local\temp\in19e8b0f0\3f3403e1_stp.exe No File
FirewallRules: [TCP Query User{E1390261-5D25-48A9-AB17-2E3C6D7EF997}C:\users\администратор\appdata\local\temp\in19e8b0f0\3f3403e1_stp.exe] => (Allow) C:\users\администратор\appdata\local\temp\in19e8b0f0\3f3403e1_stp.exe No File
FirewallRules: [UDP Query User{9989C81B-9D68-414A-8720-8361410FA1F4}C:\users\gulnaz\downloads\winbox (1).exe] => (Allow) C:\users\gulnaz\downloads\winbox (1).exe () [File not signed]
FirewallRules: [TCP Query User{6F52CF51-A426-4D5E-9FB1-6705AFEBBF19}C:\users\gulnaz\downloads\winbox (1).exe] => (Allow) C:\users\gulnaz\downloads\winbox (1).exe () [File not signed]
FirewallRules: [UDP Query User{03E5C92B-F956-4BD9-959E-919153E96CA4}C:\users\gulnaz\downloads\winbox.exe] => (Allow) C:\users\gulnaz\downloads\winbox.exe () [File not signed]
FirewallRules: [TCP Query User{669F9B00-3D17-4B67-9524-316250FD580E}C:\users\gulnaz\downloads\winbox.exe] => (Allow) C:\users\gulnaz\downloads\winbox.exe () [File not signed]
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**4050876** · 28.02.2020, 14:28

Учётки исправил. Лог прилагаю.

**Sandor** · 28.02.2020, 14:36

Если надумаете ждать, пока появится расшифровка (хоть и редко, но такое случается), папку C:\FRST не удаляйте.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**4050876** · 28.02.2020, 14:57

анализ SecurityCheck закончил.

**mike 1** · 28.02.2020, 15:15

Пришлите дополнительно с сервера и второй рабочей станции отчеты FRST.txt и Addition.txt

**4050876** · 28.02.2020, 15:43

Сообщение от mike 1

Пришлите дополнительно с сервера и второй рабочей станции отчеты FRST.txt и Addition.txt

Пока не могу, пользователи использует сервер. Как только появится возможность, сразу же сделаю. Просто данный скрипт в конце делает ребут. По другому ПК могу хоть сейчас.

**Sandor** · 28.02.2020, 16:20

Сообщение от 4050876

По другому ПК могу хоть сейчас

Только создайте для него отдельную тему.

- - - - -Добавлено - - - - -

--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.2.2756 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.4.8.0.1836 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

**4050876** · 28.02.2020, 19:54

Сообщение от Sandor

Только создайте для него отдельную тему.

Под ПК отдельную тему и под сервер отдельную? Тему продублировать?

- - - - -Добавлено - - - - -

Сообщение от Sandor

Только создайте для него отдельную тему.

Всё сделал

Поймал вирус-шифровальщик, предположительно Trojan-Encoder.567. Помогите! (заявка № 224594)

Опции темы