Решена без расшифровки Шифровальщик email-tapok@tuta.io.ver-CL 1.5.1.0

Статус
В этой теме нельзя размещать новые ответы.

rzh

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Здравствуйте.
Обнаружили сегодня компьютер в рабочей сети, почти все файлы зашифрованы.
Во вложениях:
один из зашифрованных файлов, файл readme и скрин окна, появляющегося при входе в систему;
пара зашифрованной и нормальной версий одного файла;
результат работы автологера.

Помогите пожалуйста.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,668
Реакции
2,516
Баллы
593
Выполните скрипт в AVZ из папки Autologger
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\Пользователь\appdata\local\temp\iijkmnnoqr.exe');
 QuarantineFile('c:\users\Пользователь\appdata\local\temp\iijkmnnoqr.exe','');
 DeleteFile('c:\users\Пользователь\appdata\local\temp\iijkmnnoqr.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','450594597');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Отправьте quarantine.7z из папки с распакованной утилитой AVZ на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
 

rzh

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
сообщение с карантином на указанный адрес отправил.
здесь во вложении следующие логи.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,668
Реакции
2,516
Баллы
593
Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

rzh

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Доброе утро.
 

Вложения

  • 33.6 KB Просмотры: 1

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,668
Реакции
2,516
Баллы
593
Расшифровки нет. Только зачистка мусора.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
HKLM-x32\...\Run: [3930958] => 3930958
2018-09-02 05:54 - 2018-09-02 05:54 - 000000069 _____ C:\Users\Пользователь\README.txt
2018-09-02 05:54 - 2018-09-02 05:54 - 000000069 _____ C:\Users\Пользователь\Downloads\README.txt
2018-09-02 05:54 - 2018-09-02 05:54 - 000000069 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-02 05:54 - 2018-09-02 05:54 - 000000069 _____ C:\Users\README.txt
2018-09-02 05:53 - 2018-09-02 05:54 - 000001300 _____ C:\Users\Пользователь\Desktop\email-tapok@tuta.io.ver-CL 1.5.1.0.id-450594597-294606103573659842012586.fname-README.txt.doubleoffset
2018-09-02 05:53 - 2018-09-02 05:54 - 000000069 _____ C:\Users\Пользователь\Desktop\README.txt
2018-09-02 05:53 - 2018-09-02 05:53 - 000000069 _____ C:\Users\Пользователь\Documents\README.txt
2018-09-02 05:53 - 2018-09-02 05:53 - 000000069 _____ C:\Users\Пользователь\AppData\Roaming\README.txt
2018-09-02 05:53 - 2018-09-02 05:53 - 000000069 _____ C:\Users\Пользователь\AppData\README.txt
2018-09-02 05:52 - 2018-09-02 05:52 - 000000069 _____ C:\Users\Пользователь\AppData\LocalLow\README.txt

2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Пользователь\AppData\Local\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Public\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Public\Downloads\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\Downloads\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\Documents\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\Desktop\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\AppData\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default\AppData\Local\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\Documents\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\AppData\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Default User\AppData\Local\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\Downloads\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\Documents\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\Desktop\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\AppData\Roaming\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\AppData\README.txt
2018-09-02 05:49 - 2018-09-02 05:49 - 000000069 _____ C:\Users\admin\AppData\LocalLow\README.txt
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\Users\Все пользователи\README.txt
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\Users\Все пользователи\email-tapok@tuta.io.ver-CL 1.5.1.0.id-450594597-294606103573659842012586.fname-README.txt.doubleoffset
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\Users\Public\Documents\email-tapok@tuta.io.ver-CL 1.5.1.0.id-450594597-294606103573659842012586.fname-README.txt.doubleoffset
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\Users\Public\Desktop\email-tapok@tuta.io.ver-CL 1.5.1.0.id-450594597-294606103573659842012586.fname-README.txt.doubleoffset
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\ProgramData\README.txt
2018-09-02 05:48 - 2018-09-02 05:49 - 000001300 _____ C:\ProgramData\email-tapok@tuta.io.ver-CL 1.5.1.0.id-450594597-294606103573659842012586.fname-README.txt.doubleoffset
2018-09-02 05:48 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Public\Documents\README.txt
2018-09-02 05:48 - 2018-09-02 05:49 - 000000069 _____ C:\Users\Public\Desktop\README.txt
2018-09-02 05:48 - 2018-09-02 05:48 - 000000069 _____ C:\Users\admin\AppData\Local\README.txt
2018-09-02 05:48 - 2018-09-02 05:48 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2018-09-02 05:48 - 2018-09-02 05:48 - 000000069 _____ C:\Program Files (x86)\README.txt
Task: {07752957-B41D-4CDF-85A8-0D07A02CC643} - \KMSAutoNet -> No File <==== ATTENTION
Task: {5F7846BA-8183-40BB-9085-D94B829DD583} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 

rzh

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Здравствуйте.
Извините за молчание, только сегодня браузер показал мне ваше сообщение, хотя несколько раз перезапускался за эти дни. И то, только после того, как я хотел написать в теме. На почту уведомление тоже не пришло (до этого приходили после каждого вашего ответа).

Прикладываю лог.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,237
Реакции
13,285
Баллы
2,203
Подготовьте лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

rzh

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Лог SecurityCheck во вложении.
Обновить базы AVZ не удалось. Пункт "Меню Файл - Обновление баз" был неактивен, а зараженный компьютер не подключен к сети.
Из четырех установленных браузеров на зараженном компьютере (Chrome, Firefox, Opera, IE11) запустился только IE. По остальным сбои/ошибки.
Архив из AVZ загрузил в базу. Скрин:
1536664461253.png
И текстовый вариант: MD5:5E5069EEAF0B9584198B50A7A50C7793
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,237
Реакции
13,285
Баллы
2,203
Исправьте по возможности
--------------------------- [ FirewallWindows ] ---------------------------
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.18.0.0.180 Внимание! Скачать обновления
Adobe Reader X (10.1.7) MUI v.10.1.7 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 57.0 (x64 ru) v.57.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу