41 ответов в этой теме

[Yakkou]

Всем доброго дня.

 

Бухгалтерский компьютер (на Windows7) подхватил шифровальщика; файлы .vault, тор-браузер и http://333e45lpjqrebknr.onion. Я занялся этим вопросом (по мере возможности) и хочу поделиться некоторым опытом + попросить возможной помощи в ситуации 

 

Забегая вперед скажу что - повезло, успели зашифроваться только файлы doc/docx и xls/xlsx (даже с десяток осталось жить), а базы 1С, архивы с бэкапами и сетевые папки остались не тронутыми. Началось всё с обычного звонка - "что то документ не открывается", я зашел через "удалёнку", сообразил ситуацию не сразу (поиграл в переименования файла и т.п.), а как почуял неладное быстро "загасил" компьютер и сел основательно "курить тему", вечером вооружившись базовыми знаниями, боевыми флешками/хардами поехал разбираться с компом.

 

Этой мой первый опыт такого характера (с шифровальщиком), так что не судите строго.

 

Теперь по делу:

 

1. Вдохнул. Загрузился с "LiveCD", скопировал все базы и все важные зараженные документы на внешний носитель. По структуре 1С базы (самое главное!) были не тронутые. Выдохнул.

 

2. Физически отключил второй HDD (для бэкапов который служил), он так же был не тронут, только в корне VAULT.KEY VAULT.HTA находились. .

 

3. Запустил зараженный комп "как есть", первым делом проверил запущенные процессы, за 10 секунд ничего подозрительного не обнаружил, Работаю дальше.

 

4. Быстро размонтировал сетевые диски (где сетевые папки, как физические диски были с буквами).

 

5. Проверил карантин "известного бесплатного оранжевого антивируса ", обнаружил там 2 подозрительных ".ехе" файла (с одинаковыми именами), которые были автоматически заблокированы несколько часов назад, с разницей в 30 секунд. Думается мне это и был шифровальщик, который успел отработать несколько сотен файлов (а может и тысяч)! Удивился подходу "оранжевого" к работе, но конечно лучше поздно, чем никогда...

 

6. Для перестраховки скачал "известную зеленую утилиту", прогнал - нашел 2 вируса (лог в файле) и несколько не вирусов ). 

 

7. Для дополнительной перестраховки скачал "известную красную утилиту", прогнал - обнаружено ДОПОЛНИТЕЛЬНО 5+ новых файлов (downloader, trojan, что то в архиве и наконец найдены виновники - JS сктрипты аля "акты сверки_doc___.js").

 

8. Все найденные вирусы (5 файлов) перенёс в отдельную папку, прогнал для любопытства "оранжевым" - тишина. "Зеленой утилитой не стал" - было сложнее и дольше, попробую попозже для интереса.

 

9. Проверил точки восстановления системы - ОТСУТСТВУЮТ (хотя было и много)!  С теневыми файлами долго возился - облом по всем фронтам/программам ;(  скрытых файлов/папок/копий тоже на компьютере не обнаружил. 

 

10. Запустил программу (точнее 2 разных) по восстановлению файлов сначала в "Корзине", потом "Рабочий стол" - где было самое главное из документов. Ничего не найдено, не понятно куда документы делись вообще ;(

 

11. Попробовал найти файлы/ключи шифровальщика по разным инструкциям в надежде получить зацепку. Ничего нет, собрал только в одну папку копии файлов vault.hta  и vault.key раскиданные по разным местам.

 

12. Запустил программой восстановления глубокое сканирование всего диска в надежде найти хоть что-то из документов, либо пропавшие "точки восстановления", и пошёл "прицениваться" к крайнему варианту следуя инструкции... уже понимая что, что случай не простой.

 

12. Скачал тор-браузер, зашел на сайт. Загрузил vault.key, вошёл в свой кабинет. Оценил чудо автоматизации современных преступников! Система оплаты, проверки, выдача ключей, подробное FAQ - всё автоматизировано и по взрослому, и вообще видно, что разработано с душей! Работает live-chat для связи и даже маркетинг присутствует (цена вырастет через 8 дней! ))  Сразу же программа оценила мой случай 16тыс файлов (хотя реально заражено было раз в 10-20 меньше), важность файлов оценена  "HIGH" и соответственно цена за ключ восстановления "158$" (в биткоинах), присутствует ТОРГ!. Ну подумал на крайний случай подъемные деньги - жить можно, особенно если цену еще сбить. Я еще не знал, что главная ПОДСТАВА ждёт впереди.....

 

13. С радостью обнаружил в интерфейсе возможность пробного восстановления файлов, целых 4 штуки бесплатно + по запросу можно еще несколько ) ОГО подумал - ОТ ОНА ХАЛЯВА! Мне как раз из всех документов надо то было всего 1-2штуки, очень важных! А остальное можно и пережить... сейчас подумал я их быстренько восстановлю их и смогу торговаться до посинения..... ну или забыть про остальные файлы.. пфф ерунда ). Загружаю файлы в систему.

 

14. Файл1 - неудачно, Файл2 - неудачно, Файл3 - неудачно, Файл4.....       Пишу в техподдержку, не отвечают.

 

15. Глубокое сканирование по восстановлению файлов закончено, смотрю результат - документов НОЛЬ. Зато нашёл удаленные точки восстановления! удаленные как раз во время заражения. Восстанавливаю файлы "точек" - не повреждены всё ок, надеюсь на возможность вытащить теневые файлы. Еще минут 40 манипуляций - без результатов. "Точки" восстановлены но Windows7 и "теневые" программы их не видят... видимо вирус дополнительно что-то подчистил (может в реестре). Курю интернет по восстановлению данных из "точек", сами файлы вот же они по 2-3гб!, но не всё так просто, нахожу пару тем без но без ответов, не более....  Сдаюсь, время 2 часа ночи, еду домой спать....

 

16. С утра переписываюсь с ТП в live-chat, рекомендации не прокатывают (пользователь на компе один, ключ тоже везде вроде одинаковый, проблемы на первый взгляд не видно). Переписка идёт долго, отвечают раз в 1-2 часа. Отправляю им несколько зараженных файлов и ключи в архиве через обменник.  В ручную похоже тоже восстановить не могут, спросили было бы подключение к локалки, точно ли 1 пользователь работал и т.п.  дал нужную информацию, пока молчат...

 

 

Надеюсь данная информация будет кому ни-будь полезной. Если есть кому что добавить пишите, возможно есть еще потенциал с программами восстановления (попробую другие), либо по оживлению точек восстановления. Если кто знает как вытащить файлы из "точки восстановления" пишите! Пока ищу информацию сам, её практически нет.

 

Основных вопроса ДВА!

 

1. Как вытащить информацию из восстановленных точек? Это решило вообще все бы проблемы.

2. Почему Vault не расшифровывается штатно? (не изза 2 ли одинаковых файлов которые антивирус заблочил в начале?), может там 2 прогона было....  скрипта "красная утилита" нашла тоже 2, хотя с виду одинаковых.

 

Заинтересованным людям, модераторам могу ответить на любые вопросы касательно программ что я использовал, передать файлы с вирусами, скрипты для изучения и т.п.

 

 

p.s.

забыл написать что походу дела еще тикет  делал по дешефратору в сервис Dr.WEb. Мой номер "7***-9***"  там есть скриншоты и некоторые файлы.

Прикрепленные файлы:

•  cureit.log   2,12Мб   5 Скачано раз

Сообщение было изменено VVS: 14 Январь 2016 - 14:42
Номера тикетов ТП на форуме публиковать нельзя

[Aleksandra]

Может Вас заинтересует http://company.drweb.ru/careers/?lng=ru

[Yakkou]

Если модератор разрешит я названия программ опубликую. Решил не рисковать чтоб не сочли за рекламу/антирекламу.

 

p.s.

тем более что качество работы в используемых мной утилитах/программах, в данном случае, была - очень большой

[Aleksandra]

Если модератор разрешит я названия программ опубликую. Решил не рисковать чтоб не сочли за рекламу/антирекламу.

 

p.s.

тем более что качество работы в используемых мной утилитах/программах, в данном случае, была - очень большой

Да, конечно. Это должно быть очень интересно не только начинающим, но и профессионалам.

[VVS]

Если модератор разрешит я названия программ опубликую. Решил не рисковать чтоб не сочли за рекламу/антирекламу.

 

p.s.

тем более что качество работы в используемых мной утилитах/программах, в данном случае, была - очень большой

О каких программах идёт речь?

Что-нибудь типа Easy Recovery?

Ссылок не надо, а названия вполне можно.

Модератор.

[VVS]

Кстати, а ShadowExplorer не пробовали для вытягивания файлов из restore points?

[Yakkou]

Названия я имел ввиду по антивирусам и сканерам.

 

Стоял на машине AVAST Free последней версии с обновами, дефолные настройки он с большой задержкой остановил некие процессы, что спасло 1С базы, архивы и возможности шары (не знаю возможности данного шифровальщика). Судя по тому что 10-20 документов выжило из 1000+, работа вируса все таки была приостановлена, иначе он бы утянул все документы поголовно, поэтому однозначно сказать что он был нацелен только на файлы "офиса" - нельзя. Кстати забыл упомянуть пользователь обладал правами администратора (но как я понял это значения особого не имеет), хотя возможно это спасло бы теневые копии от удаления....

 

Потом.

 

Я отключил Аваст и загрузил CureIT, он нашел дополнительно 2 вируса (видно в логах), но по структуре файлов причастность их к шифровальщику я поставил под сомнение, (хотя возможно это элемент типа "загрузчика" был). И поэтому пошел по другим утилитам, следующая была Kaspersky Removal Tool, который нашел еще 5 штук вирусов!  И в том числе "нужные" скрипты .JS в папке "Загрузка". Удивился почему "зеленая утилита" добрался до системных файлов винды, но пропустил/не узнал вируса в банальных папки пользователя?? Хотя "куря инфу" осведомленность "др.веба" мне показалась выше в вопросе шифровальщиков.

 

Восстанавливать пробовал GETDATABBACK и Rescua, ознакомительные версии с полным функционалом ) Но они не нашли никаких следов старых файлов в разных режимах , только GETDATABACK восстановил "точки восстановления" системы. Которые лежат себе теперь в папке без толку.

 

p.s.

на счет более серьезной программной защиты размышляю/выбираю. Пока перевел AVAST в максимальную чувствительность + включил ПНП (или как оно там, обнаружение вредных программ не по базе). Перевел пользователя на юзера, вернул ему UAC   Провел минисеминар среди сотрудников по файлам/почте.

[Yakkou]

Кстати, а ShadowExplorer не пробовали для вытягивания файлов из restore points?

 

Я так понял ShadowExplorer оперирует данными из реестра, и откуда то подтягивает информацию о точках восстановления. Сами точки я вернул на место, но что-то произошло еще! Если винда не видит точки через штатные инструменты, то и ShadowExrplorer (и еще я пробовал какую то прогу) тоже не видят!  Тут скорее всего нужно что то, напрямую ковыряющее файл "точки восстановления", либо восстановить утерянные системные записи об этих точках.  Удивляюсь/респектую подкованности ребят кто писал это "чудо шифрования"  много чего предусмотрели.

 

ShadowExplorer довольна простая программа, при запуске не показывает мне ничего.... и функционала расширенного нет.

 

Если есть еще варианты пишите! Как точки ковырнуть.

[Yakkou]

Может Вас заинтересует http://company.drweb.ru/careers/?lng=ru

Хе-хе интересный разворот Может попробовать?  Люблю компьютеры и IT с 13 лет (первый был ПК "Поиск"), но в программировании правда вообще не разбираюсь, это не моё.

Зато люблю с компами и программами биться до последнего ) Принцип такой и пытливый ум...

[santy]

Yakkou,

по новому ВАУЛТу в автозапуске может остаться такая запись:

Ссылки на объект
Ссылка HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Policies\

­Explorer\Run\IE5BAKEX
IE5BAKEX C:\Windows\SysWOW64\IE5BAKEX\IE5BAKEX.lnk

 

имя lnk файла может быть произвольным, но папка с таким же именем будет в system32 или syswow64

в самом lnk файле прописан запуск процесса шифратора через wmic.exe

-----------

это будет в том случае, если процесс шифрования не завершился благополучно, или такие оперативные ребята как Вы, его не прервали указанным способом.

 

т.е. если все ключевые файлы останутся на местах, то после перезагрузки системы процесс шифрования возобновится.

Сообщение было изменено santy: 14 Январь 2016 - 16:57

[Yakkou]

2santy, Спасибо.

 

Только Windows7 32bit, папки такой нет (и путь по реестру тоже другой в этой ветке). Руками поискал по кускам/названиям файла - поиск ничего не дал.

 

Но активность отсутствует вируса я думаю 100%, либо он очень медленно работает (а комп там неплохой). Выжившие файлы и новые не заражаются.

 

Если для 32битной есть что ни-будь напишите плиз.

[santy]

для x86 соответственно смотреть в каталоге system32  свежие, со статусом "скрытый" папки. в них может быть много dll не относящихся к делу, но если есть файлы lnk и исполняемые типа cmd, pif и другие, то именно они будут прописаны в автозапуске.

 

возможно были удалены оранжевыми, зелеными и красными сканерами.

Сообщение было изменено santy: 14 Январь 2016 - 18:52

[v.martyanov]

Узбагойтесь. Нет у этого энкодера никаких левых DLL, не нужны они ему.

[andrew65]

Удивляюсь/респектую подкованности ребят кто писал это "чудо шифрования"  много чего предусмотрели.

Они на этом деньги зарабатывают, чему удивляться.

[v.martyanov]

"чудо" только для тех, кто совсем не в теме. А так - ничего принципиального нового или даже интересного.

[Energyy]

Как связаться с авторами этого вируса ?

Сообщение было изменено VVS: 15 Январь 2016 - 18:32

[Lvenok]

А нужна ли тут эта ссылка то?

[VVS]

Наверно не нужна.

Модератор.

[Yakkou]

"чудо" только для тех, кто совсем не в теме. А так - ничего принципиального нового или даже интересного.

 

Ваши бы слова в руки CureIT который ничего не обнаружил на зараженной машине... а так да банальный случай, всё нормально. Только конкурент потом нашёл 4 файла легко.   

 

Ладно я ситуцию понял, больше не беспокою банальщиной 

 

p.s.

Восстановить в ручном режиме мне "хакеры" тоже кстати зараженные файлы не смогли.....    в итоге написали в чат "мол не получается открыть ваши образцы, надо купить полный ключ )) чтобы сразу все расшифровать". Конечно были посланы нафиг, потихоньку собрали все важные документы по офисным машинам, ничего важного не потеряно.

[v.martyanov]

Теплое и мягкое путать не стоит. То что сканер чего-то не находит - одно. Шифрование - другое.