Перейти к содержанию

Поймали шифровальщик. KSOS молчит

Валерий Е
 Поделиться

Рекомендуемые сообщения

Валерий Е

Валерий Е

Опубликовано
Опубликовано

Доброго
Win 1C MSSQL
Стоит KSOS c фаерволом, обновляется
Сегодня после зависания сервера обнаружили шифровальщик.
Файлы баз все большие, прикрепить не получится.
Внутри архива файл от шифровальщика и данные по скану

Downloads.rar

Валерий Е

Валерий Е

Опубликовано
  • Автор
Опубликовано

Нашёл два файла, помомо баз

854 и 855 от 27.05.22.pdf.rar

Стоит KSOS FS 21.3.10.391 (i). Базы актуальны
Фаервол KSOS пускает только с указанных корпоративных сетей. Периодически хвастается отбитыми сетевыми атаками.
WinSRV 2019. Внутри 1С, MSSQL, RDP для доступа. Лишнего ничего нет.
Куда копать? Менять везде с KSOS на DrWeb?

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Уточню: здесь сообщество энтузиастов, которые, как правило, не являются сотрудниками компании.

Если вам нужен официальный ответ, обратитесь через CompanyAccount. Результаты этого обращения нам тоже интересны.

 

Пока пытаемся определить тип вымогателя.

Разрешения на порты в брандмауэре задавали самостоятельно?

Цитата

FirewallRules: [{DF32BD3A-4665-4606-90BE-431EB9506CBA}] => (Allow) LPort=5985
FirewallRules: [{EC225CE7-1799-4341-9102-56A736A4885B}] => (Allow) LPort=22


 

Валерий Е

Валерий Е

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Здравствуйте!

 

Уточню: здесь сообщество энтузиастов, которые, как правило, не являются сотрудниками компании.

Если вам нужен официальный ответ, обратитесь через CompanyAccount. Результаты этого обращения нам тоже интересны.

 

Пока пытаемся определить тип вымогателя.

Разрешения на порты в брандмауэре задавали самостоятельно?


 

Нет, по портам ничего не открывал. Добавлял пакетные правила по IP

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-1529329868-4193605527-1947751173-500\...\MountPoints2: {ad4f0557-ab4a-11ec-a65d-0cc47ae1cd96} - "F:\SETUP.EXE" 
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
Startup: C:\Users\stepanovsv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
Startup: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\Desktop\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\Roaming\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\LocalLow\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\Desktop\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Roaming\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\LocalLow\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Local\Temp\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\Desktop\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Roaming\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\LocalLow\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Local\Temp\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Public\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Public\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Public\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\Desktop\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Roaming\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Local\Temp\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\Downloads\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\Documents\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\Desktop\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Roaming\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\LocalLow\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Local\Temp\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
FirewallRules: [{DF32BD3A-4665-4606-90BE-431EB9506CBA}] => (Allow) LPort=5985
FirewallRules: [{EC225CE7-1799-4341-9102-56A736A4885B}] => (Allow) LPort=22
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пожалуйста, не цитируйте полностью предыдущее сообщение, это ухудшает читаемость темы. Просто отвечайте в нижнем блоке быстрого ответа.

Валерий Е

Валерий Е

Опубликовано
  • Автор
Опубликовано

Забавно...
"F:\SETUP.EXE" - установщик с офф сайта MS

Sandor

Sandor

Опубликовано
Опубликовано

А что забавного?

Это просто "мусор" от ранее примонтированной флешки.

Валерий Е

Валерий Е

Опубликовано
  • Автор
Опубликовано (изменено)

Докопался до самой 1С...
image.thumb.png.45f965d528f93fad4d723c8f89e647a7.png

image.png

Изменено пользователем Валерий Е
Sandor

Sandor

Опубликовано
Опубликовано

Другими словами, антивирус был остановлен. Нужно принять меры для предотвращения подобного, т.е. остановка должна быть запрещена политикой.

 

23 часа назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Жду.

Sandor

Sandor

Опубликовано
Опубликовано

@Alex52, здравствуйте!

 

В этом разделе действуют определенные правила. Не нарушайте их, пожалуйста, пункт 2.2.

Либо просто следите за этой темой, либо создайте свою и выполните Порядок оформления запроса о помощи

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ivan_S
      Шифровальщик .ooo4ps
      Автор Ivan_S
      Добрый день. Пойммали вирус-шифровальщик на сервер. выяснили что все действия проводились через пользователя под которым крутилась 1с, однако была создана его копия, в которой хранится файл DiskCryptor. Ниже прикрепляю файл логов, а так же пара зашифрованных файлов вместе с архивом вируса

       
      Files.rar FRST.txt virus.rar
    • aryanatha
      Заразились шифровальщиком
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • pizzador
      Помощь в борьбе с шифровальщиками-вымогателями
      Автор pizzador
      Доброго времени суток. В компании работаю не давно,сервер находится на удаленке.Был доступ по РДП . Микротика не было.Заказал,но не успел прийти.По итогу после многочисленных атак ,в сервер проник шифровальщик и все закрыл.Бекапы делались на другие диски.Они заблокированы битлокером . Расшерение .le0
      Addition.txt FRST.txt Shortcut.txt Ильинский до корректировок осв.xlsx.zip
    • eNCwaer
      Зашифрованы файлы Salted
      Автор eNCwaer
      Добрый день! Сегодня утром поймали шифровальщик.
      В наименования файлов добавилось .le0
      Так же всплывает текстовый документ со следующим содержимым:
      "All your data has been locked us
      You want to return?
      Write email adk0@keemail.me"

      Файлы в архиве
      Пароль 123
      Files.rar
    • Дмитрий Миняев
      Зашифрованы файлы
      Автор Дмитрий Миняев
      Добрый день.
      Зашифровались данные на сервере. На сервере был установлен Small Buziness security, он не зашифровался.
      Данные по серверу, файл txt и примеры зашифрованных файлов прилагаю.
      Addition.txt FRST.txt FILES_ENCRYPTED.txt server.rar
×
×
  • Создать...