Перейти к содержимому


Фотография
- - - - -

Файлы с разрешение .scarab, текстовый файл с запугивающим текстом

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 14

#1 OFF   asarus

asarus

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 02 Декабрь 2017 - 18:27

Здравствуйте!

 

Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.

 

Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).

 

На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.

 

1C на данным момент работает, видимых проблем пока не обнаружено.

 

Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).

 

Логи приложил.

 

Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?

 

На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.

 

Спасибо.

 

Прикрепленные файлы


  • 0

#2 OFF   Mark D. Pearlstone

Mark D. Pearlstone

    Assistant

  • Супер-модераторы
  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 21 584

Награды

           

Отправлено 02 Декабрь 2017 - 18:28

Порядок оформления запроса о помощи


  • 0

#3 OFF   asarus

asarus

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 02 Декабрь 2017 - 18:33

Простите, случайно выбрал другой файл вместо логов.

Прикрепленные файлы


Сообщение отредактировал asarus: 02 Декабрь 2017 - 18:34

  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 540

Награды

           

Отправлено 02 Декабрь 2017 - 18:43

Есть незашифрованный оригинал файла из первого сообщения?

Выполните скрипт в AVZ
begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\hhsm\svhosts.exe');
 QuarantineFile('c:\windows\hhsm\svhosts.exe','');
 DeleteFile('c:\windows\hhsm\svhosts.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера выполните вручную.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   asarus

asarus

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 02 Декабрь 2017 - 19:11

Незашифрованного оригинал файла из первого сообщения нет, но заархивировал и приложил файл с угрозами.

 

Скрипты выполнил.

 

Текст из ответа на письмо:

 

"

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasper...834st=0p=854005

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

 

 

"

 

Новый лог во вложении.

Прикрепленные файлы


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 540

Награды

           

Отправлено 02 Декабрь 2017 - 19:16

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   asarus

asarus

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 02 Декабрь 2017 - 19:23

отчеты Farbar Recovery Scan Tool готовы

Прикрепленные файлы


Сообщение отредактировал asarus: 02 Декабрь 2017 - 19:23

  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 540

Награды

           

Отправлено 02 Декабрь 2017 - 19:41

C:\Users\Admin\AppData\Roaming\sevnz.exe проверьте на virustotal.com и пришлите ссылку на результат анализа

1. Откройте Блокнот и скопируйте в него приведенный ниже текст
CreateRestorePoint:
S2 AdobeFlashPlayerHash; C:\Windows\HhSm\svhosts.exe [X]
2017-12-01 01:28 - 2017-12-01 01:26 - 000193024 _____ C:\Users\Admin\AppData\Roaming\sevnz.exe
2017-12-01 01:27 - 2017-12-02 20:48 - 000000000 ____D C:\Windows\HhSm
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\Администратор\Инструкция по расшифровке.TXT
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\User8\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User7\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User7\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User6\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User5\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:26 - 2017-12-01 02:26 - 000003670 _____ C:\Users\User4\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:26 - 2017-12-01 02:26 - 000003670 _____ C:\Users\User4\Documents\Инструкция по расшифровке.TXT
2017-12-01 02:25 - 2017-12-01 02:25 - 000003670 _____ C:\Users\User4\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User2\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User1\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Service1\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Service1\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Admin\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Admin\Documents\Инструкция по расшифровке.TXT
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузка компьютера выполните вручную.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   asarus

asarus

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 02 Декабрь 2017 - 19:48

ссылка на результат анализа: https://www.virustot...0b309/detection


fixlog

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   6,08К   скачиваний 0

  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 540

Награды

           

Отправлено 02 Декабрь 2017 - 21:04

Найдите на диске С папку с карантином утилиты FRST, заархивируйте с паролем virus, выложите на dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   asarus

asarus

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 03 Декабрь 2017 - 08:03

Найдите на диске С папку с карантином утилиты FRST, заархивируйте с паролем virus, выложите на dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения

отправил в ЛС


  • 0

#12 OFF   asarus

asarus

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 03 Декабрь 2017 - 10:13

Интересно, продолжается ли вирусная активность на данном пк или получилось остановить ее дальнейшее распространение?


  • 0

#13 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 540

Награды

           

Отправлено 03 Декабрь 2017 - 12:14

Активного вируса нет уже. Дыру с RDP, через которую к Вам и попали, закрывайте, сменив пароль и стандартный порт.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#14 OFF   asarus

asarus

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 03 Декабрь 2017 - 13:02

Большое спасибо за помощь!

 

Что делать с файлами, имеющими разрешение .scarab ? несут ли они какой-то вред? есть ли надежда их расшифровать (пострадало много файлов конфигураций и лицензий, бд )?

 

Имеется активная лицензия касп офис смал 5пк+сервер, стоит ли действительно ставить на сервер антивирусное ПО, что бы защититься от повторных подобных атак?


  • 0

#15 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 540

Награды

           

Отправлено 03 Декабрь 2017 - 13:25

Нашими силами расшифровка невозможна. Попробуйте обратиться в ТП через CompanyAccount
Зашифрованные файлы никакого вреда не несут.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных