в любом случае обновления на сервера выкладывают 3-5 раза в сутки, чаще лишь в период особой вирусной активности,

так что настраивая обновление "ежедневно" вы можете получить актуальные базы с опозданием, и пропустить актуальную угрозу. (например шифратор).

Что случилось?

Неизвестная группа угроз скомпрометировала инфраструктуру CCleaner.
Атакующий добавил вредоносное ПО в 32-разрядные версии CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191.
Файлы были доступны для скачивания с 15 августа по 12 сентября.

Кто пострадал?

Все, кто скачал и установил затронутые версии в этот промежуток времени.
Avast оценивает количество пораженных машин на 2,27 миллиона.

Как я могу узнать, заражен ли я?

Когда была установлена зараженная версия CCleaner, она создала ключ реестра Windows, расположенный в HKEY_LOCAL_MACHINE \ SOFTWARE \ Piriform \ Agomo.
Под этим ключом будут два значения данных с именем MUID и TCID, которые используются установленной инфекцией Floxif.



Редактор реестра можно использовать для перехода к ключу Agomo и посмотреть, существует ли он. Если это так, то вы заражены этим вредоносным ПО.

Пожалуйста, обратите внимание. как показано ниже, обновление до версии 5.34 не приведет к удалению ключа Agomo из реестра Windows. Он заменит только вредоносные исполняемые файлы законными, чтобы вредоносная программа больше не присутствовала.

Что делает вредоносное ПО Floxif?

Вредоносная программа с именем Floxif - собирает данные с зараженных компьютеров, таких как имя компьютера, список установленных программ, список запущенных процессов, MAC-адреса для первых трех сетевых интерфейсов и уникальные идентификаторы для идентификации каждого компьютера.

Вредоносная программа также может загружать и выполнять другие вредоносные программы, но Avast заявила, что не обнаружила доказательств того, что злоумышленники когда-либо использовали эту функцию.

Как удалить вредоносное ПО Floxif или CCleaner?

Вредоносная программа была встроена в исполняемый файл CCleaner. Обновление CCleaner до версии 5.3 исключает старый исполняемый файл и вредоносное ПО. CCleaner не имеет системы автоматического обновления, поэтому пользователи должны загружать и устанавливать CCleaner 5.34 вручную.

Avast сказал, что это уже подтолкнуло обновление пользователям CCleaner Cloud, и все должно быть хорошо. Чистая версия - CCleaner Cloud 1.07.3214.

Что-нибудь еще?

Вредоносная программа была выполнена только в том случае, если пользователь использовал учетную запись администратора. Если вы используете низкоприоритетную учетную запись и установили CCleaner 5.33, вы больше не будете затронуты. Если вы используете Windows 7 Home Premium, ваша основная учетная запись, скорее всего, является учетной записью администратора, и вы должны предположить, что вы заражены, если вы установили эту версию CCleaner.

Тем не менее рекомендуется обновить до версии 5.34.

Почему антивирусное программное обеспечение пропустило инфекцию?

Бинарный файл CCleaner, включающий вредоносное ПО, был подписан с использованием действительного цифрового сертификата.


https://www.bleepingcomputer.com/how-to/security/ccleaner-malware-incident-what-you-need-to-know-and-how-to-remove/


+
отчет  от Cisco's Talos:
http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html#more

майнеры (код на JavaScript) могут запускаться в браузере  при посещении определенных сайтов.

https://www.bleepingcomputer.com/news/security/malvertising-campaign-mines-cryptocurrency-right-in-your-browser/

вот эти файлы (записки о выкупе) еще удалите вручную
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
C:\USERS\AVITIM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA

@A Degtyarev,
добавьте лог выполнения скрипта.
(файл дата_времяlog.txt в папке uVS)
посмотрю сейчас еще раз образ. возможно эта записка о выкупе болтается еще в автозапуске

для очистки системы.
в данном случае имел ввиду, что скрипт только удалит тела шифратора,
(без расшифровки ваших файлов).

кстати, обновил ссылку
https://mega.nz/#!pAtgTCLL!-xrFBQDh42PUW8BDxxDtJt9o5WLohwyaBwHPKHLhBGA

можно так же эту утилиту скачать и запустить на серверах для проверки существующей уязвимости SMB сервера.
https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe

http://support.eset.com/kb6481/?viewlocale=en_US

в любом случае - установите.
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

да, файлы шифратора остались в системе.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

перезагрузка, пишем о старых и новых проблемах.
------------