• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Помогите расшифровать Trojan.Kovter.298 и Trojan.Kovter.366

Статус
В этой теме нельзя размещать новые ответы.

Aleksnyc

Новый пользователь
Сообщения
21
Реакции
1
Баллы
13
Добрый день, Люди добрые!
История стандартная. Сегодня по почте пришло письмо с вложенным файлом. После открытия во всех файлах появилось расширение .crypted. Ну и как водится письмо с просьбой оплатить 0,5 биткоинов.
Антивирус нашел вирусы Trojan.Kovter.298 и Trojan.Kovter.366. В интернете ничего по ним не нашел. Если кто-нибудь слышал что-либо, пож. подскажите.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Правила читали через строчку. Нам нужны логи Autologger
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\pc\appdata\local\uwkwmedia\a2.exe');
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
 QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','');
 QuarantineFile('C:\Users\PC\AppData\Local\Uwkwmedia\dnfbugsf.dll','');
 QuarantineFile('C:\Users\PC\AppData\Local\Okvrics\smwwesng.dll','');
 QuarantineFile('c:\users\pc\appdata\local\uwkwmedia\a2.exe','');
 DeleteFile('c:\users\pc\appdata\local\uwkwmedia\a2.exe','32');
 DeleteFile('C:\Users\PC\AppData\Local\Okvrics\smwwesng.dll','32');
 DeleteFile('C:\Users\PC\AppData\Local\Uwkwmedia\dnfbugsf.dll','32');
 DeleteFile('C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\ReimageUpdater','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Reimage Reminder','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\RegClean Pro','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\WSE_Vosteran','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\win4036e0','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Okvrics');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adcxworks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Uwkwmedia');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Crypted');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 

Aleksnyc

Новый пользователь
Сообщения
21
Реакции
1
Баллы
13
Все выполнил, сообщение оправил. Спасибо за оказание помощи.
 

Aleksnyc

Новый пользователь
Сообщения
21
Реакции
1
Баллы
13
Логи и файлы я отправил в сообщении на quarantine <at> safezone.cс.
Прикрепляю к этому сообщению.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Вложение к письму сохранилось?

Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
 

Aleksnyc

Новый пользователь
Сообщения
21
Реакции
1
Баллы
13
Да, вложение сохранилось. Вы хотоите, чтобы я отправил Вам зараженное письмо?
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Заархивируйте с паролем virus, выложите на www.sendspace.com и пришлите ссылку мне в личные сообщения
 

Aleksnyc

Новый пользователь
Сообщения
21
Реакции
1
Баллы
13
Ответил в переписке.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Сделайте экспорт ветки реестра HKU\S-1-5-21-55493536-1483388734-458660247-1000\Software\Classes\3447af и тоже отправьте в ЛС
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Теперь еще экспорт HKCU\software\uenaupoi\gifzttt
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
HKU\S-1-5-21-55493536-1483388734-458660247-1000\...\Run: [**crhrgpq<*>] => "C:\WINDOWS\system32\mshta.exe" javascript:DO0YFo="Bcg";rL12=new%20ActiveXObject("WScript.Shell");afog2NUv="wjCiqsw";Gv0tJ=rL12.RegRead("HKCU\\software\\uenaupoi\\gifzttt");iHimrh4h1="3ScOz";eval(Gv0t (the data entry has 15 more characters). <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-21-55493536-1483388734-458660247-1000\...\Run: [**nsqhuufuns<*>] => "C:\Users\PC\AppData\Local\e71657\70afa5.lnk" <===== ATTENTION (Value Name with invalid characters)
Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a2ddb7.lnk [2016-09-26]
ShortcutTarget: a2ddb7.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation)
GroupPolicy: Restriction - Chrome <======= ATTENTION
SearchScopes: HKU\S-1-5-21-55493536-1483388734-458660247-1000 -> {01461C3D-D1E1-4E36-BE1F-606A440D3618} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FWV5&o=14193&src=kw&q={searchTerms}&locale=&apn_ptnrs=FM&apn_dtid=YYYYYYUWUS&apn_uid=39ab011d-9a6b-4bda-93ef-fb4d0a69f592&apn_sauid=253657BD-6F62-4C17-94E8-0AD78FE3B61A
SearchScopes: HKU\S-1-5-21-55493536-1483388734-458660247-1000 -> {1A4AB845-7ADD-4FBD-AD39-368FBEF4F70C} URL = hxxp://vosteran.com/results.php?f=4&q={searchTerms}&a=vst_mdaffmarmar_15_04_ch&cd=2XzuyEtN2Y1L1Qzu0EtD0C0ByE0E0B0ByEyEzz0F0DtBzyzztN0D0Tzu0StCtCtCyDtN1L2XzutAtFyBtFtBtFtCtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StC0DyB0C0EtAtCtBtGyE0AtAtAtG0AtC0F0BtGtAtDyC0AtGyEtDyCyCtCyEyByBzyzz0AtD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEyDtDyByEyCtAzytG0AyBtCyBtGyEyCyEtBtG0AyBtA0EtGtC0ByCtAzyyC0ByCtBtCyCzz2Q&cr=835350743&ir=
BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File
Toolbar: HKU\S-1-5-21-55493536-1483388734-458660247-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
FF HKU\S-1-5-21-55493536-1483388734-458660247-1000\...\Firefox\Extensions: [ConsumerInput@Compete] - C:\Program Files (x86)\Consumer Input\Firefox\ciff-3.2.0-12263.xpi => not found
CHR StartupUrls: Default -> "hxxp://vosteran.com/?f=7&a=vst_mdaffmarmar_15_04_ch&cd=2XzuyEtN2Y1L1Qzu0EtD0C0ByE0E0B0ByEyEzz0F0DtBzyzztN0D0Tzu0StCtCtCyDtN1L2XzutAtFyBtFtBtFtCtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StC0DyB0C0EtAtCtBtGyE0AtAtAtG0AtC0F0BtGtAtDyC0AtGyEtDyCyCtCyEyByBzyzz0AtD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyEyDtDyByEyCtAzytG0AyBtCyBtGyEyCyEtBtG0AyBtA0EtGtC0ByCtAzyyC0ByCtBtCyCzz2Q&cr=835350743&ir="
CHR Extension: (Vosteran New Tab) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\oilkkkefbalmbfppgjmgjoefbclebkce [2015-01-20]
CHR Extension: (Chrome Media Router) - C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-09-28]
CHR HKLM\...\Chrome\Extension: [oilkkkefbalmbfppgjmgjoefbclebkce] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-55493536-1483388734-458660247-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oilkkkefbalmbfppgjmgjoefbclebkce] - hxxps://clients2.google.com/service/update2/crx
2016-09-26 10:23 - 2016-09-29 09:29 - 00000000 ____D C:\Users\PC\AppData\Local\Okvrics
2016-09-26 10:23 - 2016-09-26 14:34 - 00001988 _____ C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk
2016-09-26 10:23 - 2016-09-26 14:34 - 00000000 ____D C:\rei
2016-09-26 10:23 - 2016-09-26 10:23 - 00000000 ____D C:\ProgramData\Reimage Protector
2016-09-26 10:23 - 2016-09-26 10:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
2016-09-26 10:23 - 2016-09-26 10:23 - 00000000 ____D C:\Program Files\Reimage
2016-09-26 10:22 - 2016-09-26 14:34 - 00000140 _____ C:\WINDOWS\Reimage.ini
2016-09-26 10:22 - 2016-09-26 10:22 - 00604928 _____ (Reimage) C:\Users\PC\Downloads\ReimageRepair.exe
2016-09-26 10:14 - 2016-09-29 09:30 - 00000000 ____D C:\Users\PC\AppData\Local\Uwkwmedia
2016-09-26 10:14 - 2016-09-26 14:34 - 00000000 ____D C:\Users\PC\AppData\Local\e71657
2016-09-26 10:14 - 2016-09-26 10:14 - 00000000 ____D C:\Users\PC\AppData\Roaming\91081b
C:\Users\PC\AppData\Local\Temp\a2.exe
C:\Users\PC\AppData\Local\Temp\ReimagePackage.exe
Task: {0DB5E28E-9E9A-4886-A477-981CA096A88C} - \win4036e0 -> No File <==== ATTENTION
Task: {19186D08-82CD-486D-9BDE-0B55823433D1} - \2524189404 -> No File <==== ATTENTION
Task: {25927147-11A9-41EB-8518-2E5B70DB3797} - \3093057576 -> No File <==== ATTENTION
Task: {272ED47C-4910-4054-A7DE-834A5E5CB97E} - \Reimage Reminder -> No File <==== ATTENTION
Task: {4A2E5145-7E46-4223-8D6A-5D4435F4C67B} - System32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe <==== ATTENTION
Task: {4FB3F1AB-D574-41E7-89CE-4EAD15835472} - \ReimageUpdater -> No File <==== ATTENTION
Task: {66B742EB-856B-4BF1-BE42-92A28AB21381} - System32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe <==== ATTENTION
Task: {9B72E505-33EF-4EFB-B1A0-607D942C15C8} - \WSE_Vosteran -> No File <==== ATTENTION
Task: {ACF6A2F1-CD85-4B0D-8750-61350843DBF1} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {E2B1479B-43E1-4D11-9DCC-ECC4EBC99333} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
C:\Users\PC\AppData\Local\e71657\70afa5.lnk
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
HKU\S-1-5-21-55493536-1483388734-458660247-1000\Software\Classes\3447af: "C:\WINDOWS\system32\mshta.exe" "javascript:OGn3kkh="4h2ys";s6b5=new ActiveXObject("WScript.Shell");HNdm4Xn="tuIUPrB";pMco1=s6b5.RegRead("HKCU\\software\\uenaupoi\\gifzttt");upGxL1tP="6L";eval(pMco1);Gq0cZl="e";" <===== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 

Aleksnyc

Новый пользователь
Сообщения
21
Реакции
1
Баллы
13
Все сделал, отправляю файл.
 

Вложения

Aleksnyc

Новый пользователь
Сообщения
21
Реакции
1
Баллы
13
Хотел бы узнать, есть ли шансы на расшифровку, или стоит переустановить систему?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу