Перейти к содержимому


Фотография
- - - - -

Шифровальщик Trojan.Ransom.Win32.Crusis.to

Trojan.Ransom.Win32.Crusis.to

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 8

#1 OFF   Vintorez_vrn

Vintorez_vrn

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 09 Январь 2020 - 15:54

Здравствуйте!

Помогите пожалуйста, случилось следующее: на два сервера в одном домене попал Trojan.Ransom.Win32.Crusis.to и всё там зашифровал. Попал предположительно через RDP в ночь с 6 на 7 января 2020 года.

Все файлы на одном из серверов имеют вот такое окончание id-F44B77C0.[writehere@onlinehelp.host ].harma. На втором сервере - id-06B1F04F.[writehere@onlinehelp.host ].harma 

 

Хотелось бы узнать как вообще этот шифровальщик попал на сервера, в какое время и каким образом обошёл KES?

Есть ли на сегодняшний день способ расшифровать файлы на серверах? 

Отчёты Farbar Recovery Scan Tool  прилагаю.

 

Спасибо!

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   192,83К   скачиваний 1
  • Прикрепленный файл  Addition.txt   34,03К   скачиваний 1

Сообщение отредактировал Vintorez_vrn: 09 Январь 2020 - 16:08

  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 09 Январь 2020 - 16:49

Здравствуйте!
 

как вообще этот шифровальщик попал на сервера

Вы сами ответили:

через RDP


в какое время

2020-01-05 23:17 - начало шифрования.
 

каким образом обошёл KES?

Предположительно создал пользователя
admin1 (S-1-5-21-4246338659-825374277-942501932-1171 - Administrator - Enabled), который и отключил антивирус.
 

Есть ли на сегодняшний день способ расшифровать файлы на серверах?

К сожалению, нет такого способа.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Process Hacker 2.39 (r124)


Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Task: {9CD6928F-3AA7-4CBE-826E-2553D6C93FE4} - System32\Tasks\At1 => rundll32.exe ucazfy.s,uxbfzs <==== ATTENTION
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-09] () [File not signed]
    Startup: C:\Users\dlavrentev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-06] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13943 2020-01-09] () [File not signed]
    HKLM\...\Run: [C:\Users\dlavrentev\AppData\Roaming\Info.hta] => C:\Users\dlavrentev\AppData\Roaming\Info.hta [13943 2020-01-06] () [File not signed]
    2020-01-06 03:04 - 2020-01-09 11:18 - 000013943 _____ C:\Windows\system32\Info.hta
    2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\FILES ENCRYPTED.txt
    2020-01-06 03:04 - 2020-01-06 03:04 - 000013943 _____ C:\Users\dlavrentev\AppData\Roaming\Info.hta
    2020-01-06 03:04 - 2020-01-06 03:04 - 000000186 _____ C:\Users\dlavrentev\Desktop\FILES ENCRYPTED.txt
    2020-01-05 23:21 - 2020-01-09 13:39 - 000000000 ____D C:\Users\dlavrentev\AppData\Roaming\Process Hacker 2
    2020-01-05 23:08 - 2020-01-05 23:21 - 000000000 ____D C:\INFO
    2020-01-05 23:07 - 2020-01-09 11:07 - 000000000 ____D C:\Program Files\Process Hacker 2
    2020-01-05 23:07 - 2020-01-05 23:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Сообщение отредактировал Sandor: 09 Январь 2020 - 16:50

  • 0
Изображение

#3 OFF   Vintorez_vrn

Vintorez_vrn

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 09 Январь 2020 - 17:09

Оставил.


Здравствуйте!
 

как вообще этот шифровальщик попал на сервера

Вы сами ответили:

через RDP


в какое время

2020-01-05 23:17 - начало шифрования.
 

каким образом обошёл KES?

Предположительно создал пользователя
admin1 (S-1-5-21-4246338659-825374277-942501932-1171 - Administrator - Enabled), который и отключил антивирус.
 

Есть ли на сегодняшний день способ расшифровать файлы на серверах?

К сожалению, нет такого способа.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Process Hacker 2.39 (r124)


Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Task: {9CD6928F-3AA7-4CBE-826E-2553D6C93FE4} - System32\Tasks\At1 => rundll32.exe ucazfy.s,uxbfzs <==== ATTENTION
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-09] () [File not signed]
    Startup: C:\Users\dlavrentev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-06] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13943 2020-01-09] () [File not signed]
    HKLM\...\Run: [C:\Users\dlavrentev\AppData\Roaming\Info.hta] => C:\Users\dlavrentev\AppData\Roaming\Info.hta [13943 2020-01-06] () [File not signed]
    2020-01-06 03:04 - 2020-01-09 11:18 - 000013943 _____ C:\Windows\system32\Info.hta
    2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\FILES ENCRYPTED.txt
    2020-01-06 03:04 - 2020-01-06 03:04 - 000013943 _____ C:\Users\dlavrentev\AppData\Roaming\Info.hta
    2020-01-06 03:04 - 2020-01-06 03:04 - 000000186 _____ C:\Users\dlavrentev\Desktop\FILES ENCRYPTED.txt
    2020-01-05 23:21 - 2020-01-09 13:39 - 000000000 ____D C:\Users\dlavrentev\AppData\Roaming\Process Hacker 2
    2020-01-05 23:08 - 2020-01-05 23:21 - 000000000 ____D C:\INFO
    2020-01-05 23:07 - 2020-01-09 11:07 - 000000000 ____D C:\Program Files\Process Hacker 2
    2020-01-05 23:07 - 2020-01-05 23:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   4,04К   скачиваний 1

Сообщение отредактировал Vintorez_vrn: 09 Январь 2020 - 17:09

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 09 Январь 2020 - 17:19

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

При копировании скрипта у вас почему-то потерялись двоеточия после слов Start и End, а это важно.
Выполните ещё раз этот же скрипт - скопировать (из сообщения №2), запустить FRST64.exe, нажать Fix.
Точнее - все двоеточия потерялись, и в путях файлов тоже.
  • 0
Изображение

#5 OFF   Vintorez_vrn

Vintorez_vrn

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 09 Январь 2020 - 17:20

Исправил

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   3,76К   скачиваний 1

Сообщение отредактировал Vintorez_vrn: 09 Январь 2020 - 17:21

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 09 Январь 2020 - 17:23

Да, теперь верно.

 

Смените пароль на RDP.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:
 
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
 
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
 
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  • 0
Изображение

#7 OFF   Vintorez_vrn

Vintorez_vrn

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 09 Январь 2020 - 17:30

Sandor, спасибо Вам за ответы. А что теперь делать с серверами? Есть смысл ждать какого либо дешифратора? Просто у меня тут совсем всё печально даже в actvie directory зайти не получается.

Просто как то странно у меня далеко не у одного такая проблема случилась, даже тут на форуме достаточно схожих тем. Должно же быть какое либо решение проблемы то...


Сообщение отредактировал Vintorez_vrn: 09 Январь 2020 - 17:31

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 09 Январь 2020 - 17:36

Есть смысл ждать какого либо дешифратора?

Создайте запрос на расшифровку, там ответят предметно.

даже в actvie directory зайти не получается

Возможно нужно пересоздать вручную ярлыки запуска некоторых программ.
  • 0
Изображение

#9 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 10 Январь 2020 - 14:44

каким образом обошёл KES?

Уточните, пожалуйста, в политике KSC задан ли пароль на отключение/удаление антивируса?
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных