Шифровальщик [email protected]

[TAE]

Пролез на один из компьютеров шифровальщик:
1. создает в папках файл how_to_decrypt.hta
2. шифрует файлы, к некоторым добавляет [[email protected]].[006723FF-D18BF237]
Как убить?

[Info_bot]

Уважаемый(ая) TAE, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[TAE]

Логи делаются. Расшифровывать файлы не надо, у нас есть копии. Хотелось бы избавиться от самого вируса.

- - - - -Добавлено - - - - -

Логи сделаны!

- - - - -Добавлено - - - - -

Логи созданные FRST.exe

[thyrex]

Активного вируса в логах нет

[TAE]

Спасибо! Можно еще с других компьютеров логи скину? А то не знаю где он сидит. (((

- - - - -Добавлено - - - - -

Еще один компьютер проверил.
Сообщение "исполняемый файл в потоке..." можно игнорировать, так и должно быть - это мои проги.

- - - - -Добавлено - - - - -

А это лог с самого подозрительного компа
1. Кто-то нехороший (пусть он сейчас поперхнется) подключался к нему по RDP
2. Создана "левая" учетная запись
3. Все файлы, доки, ярлыки перешифрованы

[thyrex]

Выполнять на компьютере с Windows 7

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\temp\svcgnb.exe','');
 DeleteFile('C:\temp\svcgnb.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237hta','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','006723FF-D18BF237hta','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[TAE]

Выполнил первый скрипт (авз был запущен от имени Администратора).
После перезагрузки - второй скрипт. Карантин приложил (по красной ссылке не отправляется - дает ошибку "файл уже был отправлен").
"Журнал событий" прикрепить не могу - "места нет" говорят на сайте. Как мне его отправить? На файлообменник?
Затем запустил Автологгер. Новые логи приложил.
На компьютере появился новый пользователь Lynn, которого я не создавал, с правами Администратора.
Мой пользователь VISS с правами "пользователя" у которого появилось членство в группе "Пользователи удаленного рабочего стола".

[thyrex]

На компьютере появился новый пользователь Lynn, которого я не создавал, с правами Администратора.

Удалите

Мой пользователь VISS с правами "пользователя" у которого появилось членство в группе "Пользователи удаленного рабочего стола"

удалите его из этой группы. Пароль от RDP смените на более сложный.

[TAE]

Сделаю. РДП сразу отключили на Циске.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[TAE]

Так как не было указанно запускать FRST от админа или нет (я сам Пользователь) - сделал оба варианта ("от админа" также был отключен антивирус.

[thyrex]

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {077c34b1-4c7e-11ea-9a8b-6cf0497d2bcd} - D:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {43a4dcc1-46ff-11ea-9f82-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {5f6cf410-47c3-11ea-9abf-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {5f6cf41c-47c3-11ea-9abf-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {5f6cf42a-47c3-11ea-9abf-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {5f6cf437-47c3-11ea-9abf-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {932305cc-52c8-11ea-86c2-6cf0497d2bcd} - D:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {9c1e19bf-d793-11ea-b4c9-6cf0497d2bcd} - E:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {9c1e19e6-d793-11ea-b4c9-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {9c1e1a3f-d793-11ea-b4c9-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {cfc2582e-6349-11ea-8dc9-6cf0497d2bcd} - D:\AutoRun.exe
HKU\S-1-5-21-2417104308-790440970-3211363992-1000\...\MountPoints2: {da10f0b3-e103-11ea-9827-6cf0497d2bcd} - D:\AutoRun.exe
Task: {9A2B0A64-7C4D-4361-9971-C29511032C1D} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {DB171672-667D-4D3F-9348-DFC87A1BED06} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
2020-12-02 18:55 - 2020-12-02 18:55 - 000005911 _____ C:\Users\Администратор\how_to_decrypt.hta
2020-12-02 18:55 - 2020-12-02 18:55 - 000005911 _____ C:\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\Documents\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\Desktop\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\AppData\Roaming\how_to_decrypt.hta
2020-12-02 18:54 - 2020-12-02 18:54 - 000005911 _____ C:\Users\VISS\AppData\how_to_decrypt.hta
2020-12-02 18:53 - 2020-12-02 18:53 - 000005911 _____ C:\Users\VISS\AppData\LocalLow\how_to_decrypt.hta
2020-12-02 18:46 - 2020-12-02 18:46 - 000005911 _____ C:\Users\VISS\AppData\Local\Apps\how_to_decrypt.hta
2020-12-02 18:46 - 2020-12-02 18:46 - 000005911 _____ C:\Users\Public\how_to_decrypt.hta
2020-12-02 18:46 - 2020-12-02 18:46 - 000005911 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-12-02 18:45 - 2020-12-02 18:45 - 000005911 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\Users\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\ProgramData\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\ProgramData\Documents\how_to_decrypt.hta
2020-12-02 18:44 - 2020-12-02 18:44 - 000005911 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
2020-12-02 18:41 - 2018-01-15 04:56 - 000000028 _____ C:\Users\Администратор\Desktop\Shadow.bat
C:\temp\svcgnb.exe
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[TAE]

Лог сделал. Хотел спросить - если нужно будет запускать "ваши" программы для создания логов от имени Администратора, вы сообщите об этом? Так как я являюсь обычным "Пользователь".

- - - - -Добавлено - - - - -

Ещё хотел спросить - у нас есть NAS (сетевое хранилище) D-Link DNS 315, где хранились бэкапы документов. Он тоже "поврежден". Можно ли его как-то почистить? Доступ к нему через проводник windows. Могу его подключить как сетевой диск.

[thyrex]

Хотел спросить - если нужно будет запускать "ваши" программы для создания логов от имени Администратора, вы сообщите об этом?

На системах, где администратор понижен в правах, запускать утилиты по умолчанию нужно от имени Администратора по правой кнопке мыши

[TAE]

У меня два пользователя - VISS (всегда был "Пользователь") и Администратор (встроенная учетная запись "Администратор").
Я запускал от "Пользователь", т.к. не было указаний запускать от имени Администратора.