Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети. Файлы имеют имя вида <filename>.DOC.{[email protected]}.xtbl Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал. С уважением, и огромной надеждой, Андрей.
--------- По CrySiS есть хорошие новости. Получены мастер ключи по вариантам CrySiS (в частности, [email protected]/ {[email protected]}.xtbl/[email protected]/[email protected] и др.), думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.
Здравствуйте, такая же проблема, заражено этим шифровальщиком несколько машин, сделал образ автозапуска непосредственно с компьютера источника заразы по инструкции http://forum.esetnod32.ru/forum9/topic2687/ Во вложении. С уважением, Виктор
Олег, выполните скрипт очистки, без перезагрузки системы
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
выполните скрипт очистки, поскольку шифратор сейчас в автозапуске.
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 1ABE399A5583C58CF42BC4BD0CB82A472562DEBA89FA9C1D61C3F67CDBA379C9D5185697BB95E851C31A809F46D149EC7DDFE89A51DEB02CAEBF5BC677062273 8 Win32/Filecoder.NFY [ESET-NOD32]
zoo %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\7ZO0B536F9B\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\[email protected]
del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\[email protected]
;------------------------autoscript---------------------------
chklst
delvir
deltmp
delnfr
;-------------------------------------------------------------
czoo
restart
перезагрузка, пишем о старых и новых проблемах. ------------
santy написал: Олег, выполните скрипт очистки, без перезагрузки системы
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Выполнил скрипт. судя по тому, что при копировании файлов в каталоги с базой 1С шифрование прекратилось, скорее всего автозапуск троянов больше не происходит. Написал вчера письмо в техподдержку, приложил все подозрительные файлы, несколько зашифрованных файлов и их чистые копии. Пока что ответа нет, сижу, жду. Теневых копий нет, бэкапов теперь тоже нет, потому как при попытке восстановить базы вирус зашифровал и их тоже
Олег, этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов. %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE на момент создания вами образа автозапуска он был уже удален. ----------- восстановление документов имеет смысл делать только после полной очистки системы.
santy написал: Олег, этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов. %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE на момент создания вами образа автозапуска он был уже удален. ----------- восстановление документов имеет смысл делать только после полной очистки системы.
ок, ждем ответ вирлаба.
Если быть совсем точным, то указанный файл практически сразу был помещён антивирусом в карантин, а шифрованием скорее всего занимались "потомки" этой гадости, сидевшие в одной из папок C:\Users\1\AppData\Roaming\Microsoft\Installer\{*******}\ и тоже подключенные к автозапуску.
Я понимаю, что процесс исследования новых вирусов небыстрый, но хотелось бы узнать хоть какую-то информацию - есть смысл надеяться, или уже сносить всё и ставить чистую систему?
santy написал: Олег, этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов. %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE на момент создания вами образа автозапуска он был уже удален. ----------- восстановление документов имеет смысл делать только после полной очистки системы.
ок, ждем ответ вирлаба.
Интересное кино получается. Антивирус NOD32 всё-таки опознал в этом файле трояна и переместил его в карантин. Так почему же он не запретил его запуск в тот момент, когда бухгалтер тыкнула по нему в письме? В чём тогда смысл антивируса, если он разрешает запускать заражённые программы?
попалось в сети: Трояны-вымогатели (ransomware) типа KEYHolder, CryptoLocker и CryptoWall получили широкое распространение в последнее время. Некоторые из них сильно лажают в плане криптографии, так что файлы можно расшифровать без всякого выкупа. Например, троян-вымогатель DirCrypt записывает ключ RC4 в конец каждого зашифрованного файла.
Очень похоже.
Кстати, в моих зашифрованных файлах тоже присутствуют одинаковые сигнатуры в конце.
Интересное кино получается. Антивирус NOD32 всё-таки опознал в этом файле трояна и переместил его в карантин. Так почему же он не запретил его запуск в тот момент, когда бухгалтер тыкнула по нему в письме? В чём тогда смысл антивируса, если он разрешает запускать заражённые программы?
Откуда знать как эти события между собой связаны: момент когда бухгалтер открыла письмо, и момент когда антивирус что-то удалил.
может быть он удалил файл после обновления баз, а на момент запуска еще не было детекта.
Тут явно не Cryptowall:
Цитата
Encrypted Filenames - CryptoWall 4.0 will now encrypt the actual filename of an encrypted file as well as the data contained in it. Each encrypted file will have a unique name that looks like random characters. Examples encrypted filenames look like 27p9k967z.x1nep or 9242on6c.6la9. You can see a screenshot of what a folder looks like after being encrypted by CryptoWall 4.0