[решено] Шифровальщик - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Шифровальщик (http://forum.oszone.net/showthread.php?t=356190)

Шифровальщик

Здравствуйте. Словили на работе зловреда. Базы данных все в зашифрованном виде. Судя по темам на Касперский Лаб расшифровки нет. Но все же. Есть парочка исходных(целых) файлов с их зараженными копиями. Надо будет-вышлю.

Здравствуйте!

Пока пришлите 2-3 зашифрованных документа вместе с запиской с требованием выкупа (при наличии). Упакуйте всё в архив.
Также:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ок. Зараженные - https://disk.yandex.ru/d/Bc4P3E_EcWlLgQ

Записки с требованием выкупа не было?
Вообще, во всех логах не видно следов вымогателя. Возможно заражена другая машина в сети.

А в этой системе как раз много "шар" открыто:
Сетевое имя Путь
1cbuh D:\1cbuh
GG C:\GG
Music D:\User\Music
Pictures D:\User\Pictures
Users C:\Users
Videos D:\User\Videos

Sandor, Да. Шар много(без первых 2-ух никак)... Этот компьютер основной-есть еще один, он к нему уже подключается.Тот компьютер проверял avptool и Cureit!- ничего страшного. Да и визуально ничего не тронуто.. Да и баз на том нет- значит неинтересно. Хотя может кто то там и сидит..... Записки с требованием не было. Такое ощущение, что не получилось или не успели. Тронут только диск D: .Что было на C: - нетронуто. Благо треть баз было там.
Тот компьютер проверить? или ну его...

Можем проверить, соберите на нём логи Farbar.
К сожалению, расшифровки этого типа вымогателя нет без приватного ключа, который находится у злоумышленников.

Ещё Addition.txt добавьте. Тут есть что почистить, хотя следов заражения тоже не видно.

.,........архивом.
Архив виден?

Нет пока, и предыдущее ваше сообщение пропало.

Деинсталлируйте устаревшие и не поддерживаемые:

Цитата:

Adobe Flash Player 26 PPAPI
Adobe Flash Player 32 NPAPI

а также нежелательный браузер - Спутник

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\PC\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {FC95AC4A-053E-4F00-837C-AB2757EFD350} - System32\Tasks\{01D1C8B0-84FD-446A-9BEB-ADBF1F256795} => C:\Users\PC\Desktop\дривы\DDU v18.0.1.0\Display Driver Uninstaller.exe (Нет файла) Task: {DB27C9D1-DE08-46FE-B39B-3F7B66792B43} - System32\Tasks\{8CCD3AE1-D58E-41B9-8DC3-A9FC68A1C1DE} => C:\Users\PC\Desktop\АРМ\setup.exe (Нет файла) Task: {4CE5691E-5E0F-4DB4-A0BC-C7C59BCC0F9B} - System32\Tasks\{C4CCA7E5-B897-49F2-B37E-24BC966B04A7} => C:\Users\PC\Desktop\АРМ\setup.exe (Нет файла) Task: {1D13D13E-85B5-44B4-81BF-670160804CA4} - System32\Tasks\Driver Booster SkipUAC (PC) => C:\Program Files\IObit\Driver Booster\4.2.0\DriverBooster.exe /skipuac (Нет файла) Task: {9BFEBDF3-2481-4AA6-80AB-2080D9F6CBF9} - System32\Tasks\MailRuUpdateTask => C:\Users\PC\AppData\Local\Mail.Ru\MailRuUpdater.exe --scheduler (Нет файла) <==== ВНИМАНИЕ Task: {4AB6C025-7CCF-485A-A90D-AF3BC2F6F334} - System32\Tasks\SputnikClient.Updater => C:\Program Files\SputnikLab\Sputnik\Application\5.6.6290.0\sputnik_client.exe [9485552 2021-11-18] (SPUTNIKLAB LLC -> Sputnik.ru) Task: C:\Windows\Tasks\One System CarePeriod.job => C:\Program Files\OneSystemCare\OneSystemCare.exe <==== ВНИМАНИЕ HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-1756489948-861854471-1163308541-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ FF NetworkProxy: Mozilla\Firefox\Profiles\8z15stsv.default -> http", "127.0.0.1" S4 FileMonitor; \??\C:\Program Files\IObit\IObit Malware Fighter\Drivers\win7_x86\FileMonitor.sys [X] S3 RegFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\win7_x86\regfilter.sys [X] ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files\IObit\Advanced SystemCare\ASCExtMenu.dll -> Нет файла ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\System32\IObitSmartDefragExtension.dll -> Нет файла ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\System32\IObitSmartDefragExtension.dll -> Нет файла Toolbar: HKU\S-1-5-21-1756489948-861854471-1163308541-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Нет файла Toolbar: HKU\S-1-5-21-1756489948-861854471-1163308541-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - Нет файла FirewallRules: [{4D6634AC-00EF-4E66-8B74-27CA5B81948E}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe => Нет файла FirewallRules: [{7AF66DB8-1AE4-4B69-A74D-4388A3888591}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe => Нет файла FirewallRules: [{3EADFC87-EB83-491F-805A-E6B268A9577C}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe => Нет файла FirewallRules: [{35572585-2EC7-434B-A231-E873ECEAB640}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe => Нет файла FirewallRules: [{273DBA35-1D38-4D45-A469-65C84F309484}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe => Нет файла FirewallRules: [{BB08F933-5521-4FAE-8E66-23EA4BDE4387}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe => Нет файла FirewallRules: [{4EC45FF7-0F76-41F7-8562-1B4F827B42DB}] => (Allow) C:\Program Files\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{8324E52E-0A72-4C10-985A-647A16FDF5A5}] => (Allow) C:\Program Files\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{8A251890-1DFA-4504-9DD4-2B121B9F617C}] => (Allow) C:\Program Files\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{3C16D01A-E735-4193-B2F1-67B870318CAE}] => (Allow) C:\Program Files\360\Total Security\360TsLiveUpd.exe => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Но тут следов заражения вымогателем тоже не видно.

Sandor, Спасибо за участие. Завтра скрипт "исполню".
Пока история событий, может будет занимательно))

Скрытый текст

С утра на компьютере бухгалтера - то ли отдельная учетная запись, то ли режим Лайв.
В этом режиме Process Haker держит в песочнице 3 процесса KES 11.8.
Комп вырубил. Сеть дернул.
По истории событий-взлом начался около 11 вечера.
Был открыт Яндекс браузер. В поискове введен запрос Гмер, затем Gmer, затем вход на первую ссылку Gmerовскую.
В системе даны повышенные права всем пользователям в том числе и анонимному.
Был установлен iobit uninstaller и process haker.(которые в последствии я удалил)
С касперским до сих пор мучаюсь. После "хака" он был не работоспособен - еле удалил-еле установил. Не удаляется агент администрирования и не ставится новый.Возможно, что то в правах.. не разобрался пока.
.....
Отправлял пару файликов каким то разблокировщикам. Грят-влегкую расшифруем-давайте базу 1с - зацените.
...Мы решили, что будем вручную вспоминать))) лучше так , нежели персональные данные утекут...

Эти "какие-то разблокировщики" - явно посредники, которых в сети полно.
Почитайте эту тему. Там как раз не посредники.

И жду результат выполнения скрипта.

Cпутник говорит-я бесправный.

То есть, не даёт себя удалить, верно?
Если так, удалите его принудительно с помощью Geek Uninstaller.

Скрипт отработал успешно. Наведите порядок в исключениях Защитника (удалите лишние). На семёрке немного другие "картинки", думаю, разберётесь.

Цитата:

Цитата Sandor

То есть, не даёт себя удалить, верно? »

:(
Sandor, Спасибо за помощь. :up

Хорошо, в завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Sandor, Поздно заметил сообщение. С утра понедельника уже. :yes:

Будем считать, что три дня прошло. :)

По возможности исправьте:

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен контроль учетных записей (UAC)?

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
AnyDesk MSI v.6.1.0 Внимание! Скачать обновления
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Office 2007, версия null v.null Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
7-Zip 24.05 v.24.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Total Commander (Remove or Repair) v.7.50a Внимание! Скачать обновления
WinRAR 4.10 (32-разрядная) v.4.10.0 Внимание! Скачать обновления
XnView 2.47 v.2.47 Внимание! Скачать обновления
Radmin Server 3.4 v.3.40.0000 Внимание! Программа удаленного доступа!
Adobe Reader XI (11.0.10) - Russian v.11.0.10 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Google Chrome v.109.0.5414.120 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Mozilla Firefox 60.7.0 ESR (x86 ru) v.60.7.0 Внимание! Скачать обновления
Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Спутник v.5.6.6290.0 Данная программа больше не поддерживается разработчиком.
Chromium-Gost v.109.0.5414.173 Внимание! Скачать обновления
Yandex v.24.10.4.850 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
One System Care v.4.4.0.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Hamster PDF Reader 2.0.0.27 v.2.0.0.27 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
CpuzApp5 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Особенно постарайтесь установить обновления системы (KB).

Читайте Рекомендации после лечения.