Перейти к содержанию

Рекомендуемые сообщения

Доброго
Win 1C MSSQL
Стоит KSOS c фаерволом, обновляется
Сегодня после зависания сервера обнаружили шифровальщик.
Файлы баз все большие, прикрепить не получится.
Внутри архива файл от шифровальщика и данные по скану

Downloads.rar

Ссылка на сообщение
Поделиться на другие сайты

Нашёл два файла, помомо баз

854 и 855 от 27.05.22.pdf.rar

Стоит KSOS FS 21.3.10.391 (i). Базы актуальны
Фаервол KSOS пускает только с указанных корпоративных сетей. Периодически хвастается отбитыми сетевыми атаками.
WinSRV 2019. Внутри 1С, MSSQL, RDP для доступа. Лишнего ничего нет.
Куда копать? Менять везде с KSOS на DrWeb?

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Уточню: здесь сообщество энтузиастов, которые, как правило, не являются сотрудниками компании.

Если вам нужен официальный ответ, обратитесь через CompanyAccount. Результаты этого обращения нам тоже интересны.

 

Пока пытаемся определить тип вымогателя.

Разрешения на порты в брандмауэре задавали самостоятельно?

Цитата

FirewallRules: [{DF32BD3A-4665-4606-90BE-431EB9506CBA}] => (Allow) LPort=5985
FirewallRules: [{EC225CE7-1799-4341-9102-56A736A4885B}] => (Allow) LPort=22


 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Здравствуйте!

 

Уточню: здесь сообщество энтузиастов, которые, как правило, не являются сотрудниками компании.

Если вам нужен официальный ответ, обратитесь через CompanyAccount. Результаты этого обращения нам тоже интересны.

 

Пока пытаемся определить тип вымогателя.

Разрешения на порты в брандмауэре задавали самостоятельно?


 

Нет, по портам ничего не открывал. Добавлял пакетные правила по IP

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-1529329868-4193605527-1947751173-500\...\MountPoints2: {ad4f0557-ab4a-11ec-a65d-0cc47ae1cd96} - "F:\SETUP.EXE" 
    Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
    Startup: C:\Users\stepanovsv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
    Startup: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FILES_ENCRYPTED.txt [2022-06-21] () [Файл не подписан]
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\Downloads\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\Documents\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\Desktop\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\Roaming\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV83\AppData\LocalLow\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\Downloads\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\Documents\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\Desktop\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Roaming\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\LocalLow\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\USR1CV8\AppData\Local\Temp\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\Downloads\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\Documents\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\Desktop\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Roaming\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\LocalLow\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\stepanovsv\AppData\Local\Temp\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Public\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Public\Downloads\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Public\Documents\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\Downloads\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\Documents\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\Desktop\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Roaming\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Default\AppData\Local\Temp\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\Downloads\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\Documents\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\Desktop\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Roaming\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\LocalLow\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\Users\Administrator\AppData\Local\Temp\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2022-07-02 11:37 - 2022-06-21 13:49 - 000000083 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    FirewallRules: [{DF32BD3A-4665-4606-90BE-431EB9506CBA}] => (Allow) LPort=5985
    FirewallRules: [{EC225CE7-1799-4341-9102-56A736A4885B}] => (Allow) LPort=22
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пожалуйста, не цитируйте полностью предыдущее сообщение, это ухудшает читаемость темы. Просто отвечайте в нижнем блоке быстрого ответа.

Ссылка на сообщение
Поделиться на другие сайты

Другими словами, антивирус был остановлен. Нужно принять меры для предотвращения подобного, т.е. остановка должна быть запрещена политикой.

 

23 часа назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Жду.

Ссылка на сообщение
Поделиться на другие сайты

@Alex52, здравствуйте!

 

В этом разделе действуют определенные правила. Не нарушайте их, пожалуйста, пункт 2.2.

Либо просто следите за этой темой, либо создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Alex52
      От Alex52
      Здравствуйте, программа вымогатель зашифровала данные и удалилась, осталось только письмо как связаться с мошенниками...
      Во вложении файл с требованием от мошенников. Так же зашифрованные файлы и их незашифрованные копии.
       
      на расшифровку.zip
×
×
  • Создать...