Решена без расшифровки Шифровальщик email-tapok@tuta.io.ver-CL 1.5.1.0

Статус
В этой теме нельзя размещать новые ответы.

rzh

Новый пользователь
Сообщения
5
Симпатии
0
Баллы
1
#1
Здравствуйте.
Обнаружили сегодня компьютер в рабочей сети, почти все файлы зашифрованы.
Во вложениях:
один из зашифрованных файлов, файл readme и скрин окна, появляющегося при входе в систему;
пара зашифрованной и нормальной версий одного файла;
результат работы автологера.

Помогите пожалуйста.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#2
Выполните скрипт в AVZ из папки Autologger
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\Пользователь\appdata\local\temp\iijkmnnoqr.exe');
 QuarantineFile('c:\users\Пользователь\appdata\local\temp\iijkmnnoqr.exe','');
 DeleteFile('c:\users\Пользователь\appdata\local\temp\iijkmnnoqr.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','450594597');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Отправьте quarantine.7z из папки с распакованной утилитой AVZ на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
 

rzh

Новый пользователь
Сообщения
5
Симпатии
0
Баллы
1
#3
сообщение с карантином на указанный адрес отправил.
здесь во вложении следующие логи.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#4
Скачайте Farbar Recovery Scan Tool
proxy.php?image=https%3A%2F%2Fi.imgur.com%2FNAAC5Ba.png&hash=ff82f1f5859613376226ffdd0623fc8f
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
proxy.php?image=https%3A%2F%2Fi.imgur.com%2F3munStB.png&hash=b8be867eff6b8e3fa608be6fbbd2ab40

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#6
Расшифровки нет. Только зачистка мусора.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
HKLM-x32\...\Run: [3930958] => 3930958
2018-09-02 05:54 - 2018-09-02 05:54 - 000000069 _____ C:\Users\Пользователь\README.txt
2018-09-02 05:54 - 2018-09-02 05:54 - 000000069 _____ C:\Users\Пользователь\Downloads\README.txt
2018-09-02 05:54 - 2018-09-02 05:54 - 000000069 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-02 05:54 - 2018-09-02 05:54 - 000000069 _____ C:\Users\README.txt
2018-09-02 05:53 - 2018-09-02 05:54 - 000001300 _____ C:\Users\Пользователь\Desktop\email-tapok@tuta.io.ver-CL 1.5.1.0.id-450594597-294606103573659842012586.fname-README.txt.doubleoffset
2018-09-02 05:53 - 2018-09-02 05:54 - 000000069 _____ C:\Users\Пользователь\Desktop\README.txt
2018-09-02 05:53 - 2018-09-02 05:53 - 000000069 _____ C:\Users\Пользователь\Documents\README.txt
2018-09-02 05:53 - 2018-09-02 05:53 - 000000069 _____ C:\Users\Пользователь\AppData\Roaming\README.txt
2018-09-02 05:53 - 2018-09-02 05:53 - 000000069 _____ C:\Users\Пользователь\AppData\README.txt
2018-09-02 05:52 - 2018-09-02 05:52 - 000000069 _____ C:\Users\Пользователь\AppData\LocalLow\README.txt

2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Пользователь\AppData\Local\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Public\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Public\Downloads\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\Downloads\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\Documents\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\Desktop\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\AppData\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\AppData\Local\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\Documents\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\AppData\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\AppData\Local\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\Downloads\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\Documents\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\Desktop\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\AppData\Roaming\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\AppData\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\AppData\LocalLow\README.txt
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\Users\Все пользователи\README.txt
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\Users\Все пользователи\email-tapok@tuta.io.ver-CL 1.5.1.0.id-450594597-294606103573659842012586.fname-README.txt.doubleoffset
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\Users\Public\Documents\email-tapok@tuta.io.ver-CL 1.5.1.0.id-450594597-294606103573659842012586.fname-README.txt.doubleoffset
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\Users\Public\Desktop\email-tapok@tuta.io.ver-CL 1.5.1.0.id-450594597-294606103573659842012586.fname-README.txt.doubleoffset
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\ProgramData\README.txt
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\ProgramData\email-tapok@tuta.io.ver-CL 1.5.1.0.id-450594597-294606103573659842012586.fname-README.txt.doubleoffset
2018-09-02 05:48 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Public\Documents\README.txt
2018-09-02 05:48 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Public\Desktop\README.txt
2018-09-02 05:48 - 2018-09-02 05:48 - 000000069 _____ C:\Users\admin\AppData\Local\README.txt
2018-09-02 05:48 - 2018-09-02 05:48 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2018-09-02 05:48 - 2018-09-02 05:48 - 000000069 _____ C:\Program Files (x86)\README.txt
Task: {07752957-B41D-4CDF-85A8-0D07A02CC643} - \KMSAutoNet -> No File <==== ATTENTION
Task: {5F7846BA-8183-40BB-9085-D94B829DD583} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 

rzh

Новый пользователь
Сообщения
5
Симпатии
0
Баллы
1
#7
Здравствуйте.
Извините за молчание, только сегодня браузер показал мне ваше сообщение, хотя несколько раз перезапускался за эти дни. И то, только после того, как я хотел написать в теме. На почту уведомление тоже не пришло (до этого приходили после каждого вашего ответа).

Прикладываю лог.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,443
Симпатии
12,570
Баллы
2,203
#8
Подготовьте лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

rzh

Новый пользователь
Сообщения
5
Симпатии
0
Баллы
1
#9
Лог SecurityCheck во вложении.
Обновить базы AVZ не удалось. Пункт "Меню Файл - Обновление баз" был неактивен, а зараженный компьютер не подключен к сети.
Из четырех установленных браузеров на зараженном компьютере (Chrome, Firefox, Opera, IE11) запустился только IE. По остальным сбои/ошибки.
Архив из AVZ загрузил в базу. Скрин:

И текстовый вариант: MD5:5E5069EEAF0B9584198B50A7A50C7793
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,443
Симпатии
12,570
Баллы
2,203
#10
Исправьте по возможности
--------------------------- [ FirewallWindows ] ---------------------------
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.18.0.0.180 Внимание! Скачать обновления
Adobe Reader X (10.1.7) MUI v.10.1.7 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 57.0 (x64 ru) v.57.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу