babuk generic Шифровальщик BY ANUBIZ LOCKER "obamka@tuta.io" заменил все расширения на ".lomer"

[newlogi 1]

Доброго дня!

Судя по дате изменения файлов гадина сработала 8.11.202 г. в 22:54.

В каждой папке появился файл "приветствия" "How To Restore Your Files.txt".

А так же этот файл распечатался на локальных принтерах других ПК в сети.

Зашифрованы все файлы относящиеся к 1С и др. документы.

ОС Windows Server 2008 R2 Standart (лицензия)

Файлы по Правилам прилагаю.

Addition.txt FRST.txt tri_faila.rar

[Sandor 1 253]

Здравствуйте!

 

Расшифровки скорее всего нет, пытаемся пока определить тип вымогателя.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\How To Restore Your Files.txt
  2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\Downloads\How To Restore Your Files.txt
  2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\Documents\How To Restore Your Files.txt
  2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\Desktop\How To Restore Your Files.txt
  2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\How To Restore Your Files.txt
  2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\AppData\Roaming\How To Restore Your Files.txt
  2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\AppData\Local\How To Restore Your Files.txt
  2022-11-08 22:53 - 2022-11-08 22:53 - 000001318 _____ C:\Users\Public\How To Restore Your Files.txt
  2022-11-08 22:53 - 2022-11-08 22:53 - 000001318 _____ C:\Users\Public\Downloads\How To Restore Your Files.txt
  2022-11-08 22:53 - 2022-11-08 22:53 - 000001318 _____ C:\Users\Public\Documents\How To Restore Your Files.txt
  2022-11-08 22:53 - 2022-11-08 22:53 - 000001318 _____ C:\ProgramData\How To Restore Your Files.txt
  2022-11-08 22:48 - 2022-11-07 22:27 - 000080896 _____ C:\Program Files\e_win.exe
  2022-11-08 22:48 - 2022-01-29 00:12 - 000000194 _____ C:\Program Files\1.bat
  FirewallRules: [{46CD89BC-E629-4B80-BF65-3F56E1D7A864}] => (Allow) LPort=475
  FirewallRules: [{FDBADD64-C27A-46C9-8350-35637F322AAA}] => (Allow) LPort=475
  FirewallRules: [{EFCE24CC-3DF6-496B-839F-FE8960BE96A4}] => (Allow) LPort=3702
  FirewallRules: [{E1B3736C-C8EA-44D4-9D79-97D47C413130}] => (Allow) LPort=9244
  Zip: c:\FRST\Quarantine\
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время). Залейте его в облако и дайте ссылку на скачивание мне личным сообщением.

 

Из девяти учётных записей системы восемь обладают правами администратора. Нужно оставить одного.

Пароли на подключение по RDP меняйте.

[newlogi 1]

Прилагаю полученный лог-файл.

Из указанных в скрипте директорий файлы "How To Restore Your Files.txt". удалились. В остальных папках системы остаются по прежнему.  

Ссылку на файл в облаке отправил в личку.

Про учётки не совсем понял. Поудалять всех пользователей или права администратора оставить только одному?

Про пароли учту. Изменим.

Fixlog.txt

Изменено 10 ноября, 2022 пользователем newlogi

[Sandor 1 253]

41 минуту назад, newlogi сказал:

В остальных папках системы остаются по прежнему

То есть эти файлы

Цитата

 

C:\Program Files\e_win.exe

C:\Program Files\1.bat

 

по-прежнему на месте?

 

43 минуты назад, newlogi сказал:

или права администратора оставить только одному?

Именно так.

[newlogi 1]

6 минут назад, Sandor сказал:

То есть эти файлы

Цитата

 

C:\Program Files\e_win.exe

C:\Program Files\1.bat

 

по-прежнему на месте?

Этих файлов нет.

А вот  "How To Restore Your Files.txt" есть практически в каждой папке, кроме тех папок, что указаны в скрипте.

 

Архив из облака удалось скачать?

[Sandor 1 253]

Понятно. Про архив ответил в личке.

Записки с требованием выкупа можете просто удалить.

[newlogi 1]

архив перезалил.

Ссылка в личке.

[newlogi 1]

Доброго дня, Уважаемым Хелперам!

Есть ли новости по исследованию?

И второй вопрос. Есть ли возможность очистить/восстановить систему?

[Sandor 1 253]

Здравствуйте!

 

Пока нет, возможно ближе к вечеру.

 

8 минут назад, newlogi сказал:

Есть ли возможность очистить/восстановить систему?

Скриптом из первого моего сообщения мы это уже сделали. Активного заражения нет.

[Sandor 1 253]

Вымогатель Babuk, точнее - его разновидность.

Как и предполагал, расшифровки нет.

[newlogi 1]

Понял, спасибо!

Есть какие-нибудь рекомендации, что делать дальше?

Что делать с программами, логами, которые скачивал и делал по Правилам?

Не осталось ли следов от вируса?

Что делать с зашифрованными файлами?

Можно ли просто переустановить 1С?

И т.п. ))

 

[Sandor 1 253]

17 часов назад, newlogi сказал:

Не осталось ли следов от вируса?

Нет.

 

17 часов назад, newlogi сказал:

Что делать с зашифрованными файлами?

Если есть возможность и необходимость (в надежде, что через неопределенное время появится расшифровка), можете их сохранить вместе с запиской "How To Restore Your Files.txt"

 

17 часов назад, newlogi сказал:

Можно ли просто переустановить 1С?

Да.

 

Инструмент лечения удалите так:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Читайте Рекомендации после удаления вредоносного ПО

[newlogi 1]

Принято. Отпишусь по окончании выполнения рекомендаций.

 

Пока ещё вопрос.

Есть предположение, как троян проник на сервак?

Поясню почему спрашиваю.

После того, как я перенёс его (заражённый сервак) в другое место, к себе поближе, один из ПК уже в этой локальной сети поймал шифровальщика (буквально сегодня). Могло этому заражению способствовать подключение заражённого сервера к данной локальной сети? И сколько машин могло заразиться, как бы вычислить?

 

[Sandor 1 253]

1 минуту назад, newlogi сказал:

Могло этому заражению способствовать подключение заражённого сервера к данной локальной сети?

Не исключено, но маловероятно.

Как правило заражение происходит из-за открытого порта для RDP и слабого пароля админской учётной записи.

Раз уж речь зашла про локальную сеть, пересмотрите все открытые ресурсы (шары), их пароли и разрешения.

[newlogi 1]

7 часов назад, Sandor сказал:

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 

К сожалению текстовый файл после выполнения скрипта не открылся. Что-то пошло не так. В окне программы появилось сообщение "Ошибка выполнения скрипта". (см.вложение)

Уязвимости не определены. Возможно я что-то делаю не так.