Шифровальщик !_____GEKSOGEN911@GMAIL.COM____.c300

[Sergey Shuptarskiy]

Добрый день!

 

Помогите определить и расшифровать. все файлы имеют расширение !_____GEKSOGEN911@GMAIL.COM____.c300 

 

Новая папка.rar

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Sergey Shuptarskiy]

Добрый день!

 

Зараженных компьютеров несколько. Поразило по сетке все расшаренные для доступа папки, остальные не тронуто. Специализация в основном на базы данных, поражены базы программ 1С, R-Keeper, Sbis.

 

Взял для начала один из компьютеров, по моей версии источник распространения, скорее всего открыто письмо из почты. На нем был установлен KIS2016, сетевой экран был выключен.

 

1. Произвел проверку им полную, ничего не обнаружено.

2. Скачал и провел полную проверку Cureit, ничего не обнаружено.

3. Провел запуск автоматического сборщика логов согласно инструкции.

Файл с отчетами прилагаю.

 

Единственно производил все процедуры удаленно путем подключения через Teamviewer.

 

Почему-то несколько пораженных файлов с базами данных нашел в корзине. На двух компьютерах в корзине находились.

 

Жду дальнейших инструкций.

 

CollectionLog-2016.11.09-21.56.zip

[mike 1]

 

Взял для начала один из компьютеров, по моей версии источник распространения, скорее всего открыто письмо из почты. На нем был установлен KIS2016, сетевой экран был выключен.

Заражение произошло не через электронную почту, причем я в этом уверен. 

 

 

 

Зараженных компьютеров несколько. Поразило по сетке все расшаренные для доступа папки, остальные не тронуто. Специализация в основном на базы данных, поражены базы 

Ищите в локальной сети такой компьютер, на котором открыт RDP и расшарены папки. С него собственно и нужны логи.  

[Sergey Shuptarskiy]

 

Заражение произошло не через электронную почту, причем я в этом уверен. 

 

Ищите в локальной сети такой компьютер, на котором открыт RDP и расшарены папки. С него собственно и нужны логи.  

 

 

А какие иные источники заражения у таких вирусов? Сервер поражен, к нему подключались по RDP и на нем лежат базы от 1С в расшаренных папках. Но сервер стоял отдельно, в него не втыкали флешки, у него нет выхода в интернет. На сервере поражены только расшареные папки, из чего я сделал вывод что зараза пришла откуда-то по сети из рабочего компьютера пользователя?

[Sergey Shuptarskiy]

Проверил сервер утилитой Kaspersky Virus Removal Tool, он обнаружил вирус Trojan.win32.cosmu.dljx в одной из учетных записей на рабочем столе и с папке 1с в AppData\Local в этой же учетке. Что с ними делать? Удалять? Файлы с вирусам завернул в архив, прикрепляю.

 

Так а вот CureIt определил его как Trojan.Encoder.5342 значит все таки шифровальщик это - приложил этот файл - RSzENyXs.rar

 

сидит в 3 местах : device\harddiskvolume2\users\ac2\appdata\local\rszenysx.exe

                                 C:\users\ac2\appdata\local\rszenysx.exe

                                 C:\users\ac2\desktop\87675384.exe

 

Итак на данный момент во всей локальной сети признаки шифрации имеют только 2 компьютера. 1 компьютер - ресепшен и 2 компьютер сервер.

 

На 1 компьютере поражены файлы на локальном диске D, там была программа Rkeeper, у нее поражены все базы данных. И выборочно файлы на диске с расширениями bmp, xml,log,txt,png,db,net,mb,px. На рабочем столе и на диске С признаков поражения нет. Проверка Kaspersky Virus Removal Tool и CureIT ничего на находит. Логи от сборщика по этой машине приложены выше. 

 

На сервере поражена по предварительной оценке только расшаренная папка в которой были базы 1с и сбис, там поражение масштабное, все файлы в разных форматах зашифрованы. Базы данных которые лежат на сервере но не в расшаренной папке не поражены.

 

 

В прошлом письме ошибся - сервер имел доступ к интернет. 

 

Прилагаю логи с сервера от автоматической проверки AVZ

CollectionLog-2016.11.10-13.22.zip

Изменено 10 ноября, 2016 пользователем mike 1
Карантин в теме

[Hex]

Вчера столкнулся с этими файлами. Тоже на сервере нашёл Trojan.Encoder.5342. Есть возможность их расшифровать?

[Sandor]

@Hex, не пишите в чужой теме. Создайте свою, прочтите и выполните Порядок оформления запроса о помощи

[Sergey Shuptarskiy]

 

 

 

 

 

 

Все логи приложил, что делать дальше?

[mike 1]

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525, хотя шансов мало 

[Sergey Shuptarskiy]

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525, хотя шансов мало 

 

Ну мы в основном восстановились, почему-то он выборочно поразил. Можно больше узнать о технологии распространения это шифровальщика и что делать после. Я установил на сервер KAV Small Office, он удалил зараженные файлы. Есть ли вероятность что где-то может сидеть эта штука и шифрование продолжится или стартует заного? Пока за эти дни видимых следов активности нет, базы 1С восстановленные и сидящей в той же папке с зашифрованными пока работают нормально. 

Также хотелось бы узнать версию возможного попадания этого вируса, как происходит заражение, такое ощущение что он узконаправлен на поиск баз данных и когда находит шифрует все остальные файлы вокруг? Т.к. на других машинах следов шифрования нет, вируса нет, но при чистке реестра Ccleaner-ом он где-то выдает ссылку на какие-то расширения .c300 среди ошибок реестра. Возможно машины не поражены только из-за того что баз не было? 

[mike 1]

 

 

Можно больше узнать о технологии распространения это шифровальщика и что делать после.

Злоумышленник подбирает пароль к RDP и учетной записи, а далее отключает антивирус (если такой имеется) и вручную запускает шифровальщика. 

 

 

 

Есть ли вероятность что где-то может сидеть эта штука и шифрование продолжится или стартует заного?

Ну к вам удаленно зашли. Рекомендации по настройке сервера можно найти здесь  https://1cloud.ru/help/windows/windowssecurity 

 

 

 

Возможно машины не поражены только из-за того что баз не было? 

Нет. Скорее всего подобрали пароль к ограниченной учетной записи и просто тупо прав не хватило, чтобы все зашифровать. 

[Sergey Shuptarskiy]

 

Есть ли вероятность что где-то может сидеть эта штука и шифрование продолжится или стартует заного?

Ну к вам удаленно зашли. Рекомендации по настройке сервера можно найти здесь  https://1cloud.ru/help/windows/windowssecurity 

 

 

К сожалению ссылка не рабочая. 

При переписке они просили выслать им IP чтобы после оплаты прислать расшифровщик. Для чего им может понадобиться IP? 

[mike 1]

https://1cloud.ru/help/windows/windowssecurity

 

 

 

При переписке они просили выслать им IP чтобы после оплаты прислать расшифровщик. Для чего им может понадобиться IP? 

Думаю для того, чтобы выставить вам окончательную цену за дешифратор. 

[егор555555555555555]

Скажите у Вас получилось дешефровать файлы, а то у меня аналогичная ситуация? Егор 31071953@mail.ru