Перейти к содержанию

Файлы с разрешение .scarab, текстовый файл с запугивающим текстом


Рекомендуемые сообщения

Здравствуйте!

 

Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.

 

Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).

 

На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.

 

1C на данным момент работает, видимых проблем пока не обнаружено.

 

Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).

 

Логи приложил.

 

Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?

 

На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.

 

Спасибо.

 

post-48231-0-87760600-1512227696_thumb.jpg

post-48231-0-58762600-1512227714_thumb.jpg

post-48231-0-29442700-1512227720_thumb.jpg

post-48231-0-09275400-1512227727_thumb.jpg

virusinfo_syscheck.zip

Инструкция по расшифровке.TXT

Настройка сертификата для 1C.doc.zip

Ссылка на сообщение
Поделиться на другие сайты

Простите, случайно выбрал другой файл вместо логов.

CollectionLog-2017.12.02-19.54.zip

Изменено пользователем asarus
Ссылка на сообщение
Поделиться на другие сайты

Есть незашифрованный оригинал файла из первого сообщения?

 

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\hhsm\svhosts.exe');
 QuarantineFile('c:\windows\hhsm\svhosts.exe','');
 DeleteFile('c:\windows\hhsm\svhosts.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера выполните вручную.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Незашифрованного оригинал файла из первого сообщения нет, но заархивировал и приложил файл с угрозами.

 

Скрипты выполнил.

 

Текст из ответа на письмо:

 

"

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=57834st=0p=854005

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

 

 

"

 

Новый лог во вложении.

зашифрованая угроза и не зашифрованная.zip

CollectionLog-2017.12.02-21.04.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

C:\Users\Admin\AppData\Roaming\sevnz.exe проверьте на virustotal.com и пришлите ссылку на результат анализа

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S2 AdobeFlashPlayerHash; C:\Windows\HhSm\svhosts.exe [X]
2017-12-01 01:28 - 2017-12-01 01:26 - 000193024 _____ C:\Users\Admin\AppData\Roaming\sevnz.exe
2017-12-01 01:27 - 2017-12-02 20:48 - 000000000 ____D C:\Windows\HhSm
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\Администратор\Инструкция по расшифровке.TXT
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\User8\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User7\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User7\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User6\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User5\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:26 - 2017-12-01 02:26 - 000003670 _____ C:\Users\User4\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:26 - 2017-12-01 02:26 - 000003670 _____ C:\Users\User4\Documents\Инструкция по расшифровке.TXT
2017-12-01 02:25 - 2017-12-01 02:25 - 000003670 _____ C:\Users\User4\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User2\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User1\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Service1\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Service1\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Admin\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Admin\Documents\Инструкция по расшифровке.TXT
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузка компьютера выполните вручную.
Ссылка на сообщение
Поделиться на другие сайты

Найдите на диске С папку с карантином утилиты FRST, заархивируйте с паролем virus, выложите на dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения

Ссылка на сообщение
Поделиться на другие сайты

Найдите на диске С папку с карантином утилиты FRST, заархивируйте с паролем virus, выложите на dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения

отправил в ЛС

Ссылка на сообщение
Поделиться на другие сайты

Интересно, продолжается ли вирусная активность на данном пк или получилось остановить ее дальнейшее распространение?

Ссылка на сообщение
Поделиться на другие сайты

Активного вируса нет уже. Дыру с RDP, через которую к Вам и попали, закрывайте, сменив пароль и стандартный порт.

Ссылка на сообщение
Поделиться на другие сайты

Большое спасибо за помощь!

 

Что делать с файлами, имеющими разрешение .scarab ? несут ли они какой-то вред? есть ли надежда их расшифровать (пострадало много файлов конфигураций и лицензий, бд )?

 

Имеется активная лицензия касп офис смал 5пк+сервер, стоит ли действительно ставить на сервер антивирусное ПО, что бы защититься от повторных подобных атак?

Ссылка на сообщение
Поделиться на другие сайты

Нашими силами расшифровка невозможна. Попробуйте обратиться в ТП через CompanyAccount

Зашифрованные файлы никакого вреда не несут.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...