Где я могу найти исполняемый файл Cerber и записи реестра?

Question

Сервер, которым я управляю, был заражен вымогателем по имени Cerber. Они требуют оплаты (как и в случае с такими вирусами).

На данный момент я сузил источник инфекции и удалил его. Я немного погуглил и нашел несколько статей о том, как удалить его из системы. Особенно тот, что у пирающего компьютера, был довольно поучительным.

Говорят, что вирус находится в %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe . К сожалению, эта папка не существует в зараженной системе :(
Они также предоставляют несколько разделов реестра, где запускается исполняемый файл вируса:

HKCU\Control Panel\Desktop\SCRNSAVE.EXE "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Command Processor\AutoRun   "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run    "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Ни одна из этих записей не существует.
Где (или даже как) я могу найти исполняемый файл вируса, чтобы удалить его из системы?

Answer 1

Кажется, что есть новая цепь вируса, которая размещается в немного другом месте и использует другие ключи реестра.

Вы сможете найти вирус в %AppData%\{7DD25B43-EDEC-C6A2-4E97-EB6E11BD11CD3} .

Особенно интересно: вирус может получить доступ только к реестру своего текущего пользователя. Соответственно он иногда вкладывается в куст HKEY_USERS/[...]/ вместо HKEY_CURRENT_USER . Записи реестра в соответствующих ульях одинаковы.

---

Как мне найти это, если я не знаю путь, или "опубликованные" пути не работают?

Мне удалось зафиксировать вирус, тщательно проверив TaskManager из учетной записи администратора, когда зараженный пользователь вошел в систему. Чтобы упростить это, вы можете отобразить столбцы "Имя пути к изображению" и "Командная строка" на вкладке "Сведения" в TaskManager.
В этом случае все, что маскирует под Windows-исполняемый файл или SCRNSAVE.EXE из \AppData\Roaming является весьма подозрительным и должно быть расследовано.