newlogi 1 Опубликовано 10 ноября, 2022 Share Опубликовано 10 ноября, 2022 Доброго дня! Судя по дате изменения файлов гадина сработала 8.11.202 г. в 22:54. В каждой папке появился файл "приветствия" "How To Restore Your Files.txt". А так же этот файл распечатался на локальных принтерах других ПК в сети. Зашифрованы все файлы относящиеся к 1С и др. документы. ОС Windows Server 2008 R2 Standart (лицензия) Файлы по Правилам прилагаю. Addition.txt FRST.txt tri_faila.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 10 ноября, 2022 Share Опубликовано 10 ноября, 2022 Здравствуйте! Расшифровки скорее всего нет, пытаемся пока определить тип вымогателя. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: 2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\How To Restore Your Files.txt 2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\Downloads\How To Restore Your Files.txt 2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\Documents\How To Restore Your Files.txt 2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\Desktop\How To Restore Your Files.txt 2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\How To Restore Your Files.txt 2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\AppData\Roaming\How To Restore Your Files.txt 2022-11-08 22:54 - 2022-11-08 22:54 - 000001318 _____ C:\Users\Надежда\AppData\Local\How To Restore Your Files.txt 2022-11-08 22:53 - 2022-11-08 22:53 - 000001318 _____ C:\Users\Public\How To Restore Your Files.txt 2022-11-08 22:53 - 2022-11-08 22:53 - 000001318 _____ C:\Users\Public\Downloads\How To Restore Your Files.txt 2022-11-08 22:53 - 2022-11-08 22:53 - 000001318 _____ C:\Users\Public\Documents\How To Restore Your Files.txt 2022-11-08 22:53 - 2022-11-08 22:53 - 000001318 _____ C:\ProgramData\How To Restore Your Files.txt 2022-11-08 22:48 - 2022-11-07 22:27 - 000080896 _____ C:\Program Files\e_win.exe 2022-11-08 22:48 - 2022-01-29 00:12 - 000000194 _____ C:\Program Files\1.bat FirewallRules: [{46CD89BC-E629-4B80-BF65-3F56E1D7A864}] => (Allow) LPort=475 FirewallRules: [{FDBADD64-C27A-46C9-8350-35637F322AAA}] => (Allow) LPort=475 FirewallRules: [{EFCE24CC-3DF6-496B-839F-FE8960BE96A4}] => (Allow) LPort=3702 FirewallRules: [{E1B3736C-C8EA-44D4-9D79-97D47C413130}] => (Allow) LPort=9244 Zip: c:\FRST\Quarantine\ End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер перезагрузите вручную. Подробнее читайте в этом руководстве. На рабочем столе появится архив Date_Time.zip (Дата_Время). Залейте его в облако и дайте ссылку на скачивание мне личным сообщением. Из девяти учётных записей системы восемь обладают правами администратора. Нужно оставить одного. Пароли на подключение по RDP меняйте. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
newlogi 1 Опубликовано 10 ноября, 2022 Автор Share Опубликовано 10 ноября, 2022 (изменено) Прилагаю полученный лог-файл. Из указанных в скрипте директорий файлы "How To Restore Your Files.txt". удалились. В остальных папках системы остаются по прежнему. Ссылку на файл в облаке отправил в личку. Про учётки не совсем понял. Поудалять всех пользователей или права администратора оставить только одному? Про пароли учту. Изменим. Fixlog.txt Изменено 10 ноября, 2022 пользователем newlogi Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 10 ноября, 2022 Share Опубликовано 10 ноября, 2022 41 минуту назад, newlogi сказал: В остальных папках системы остаются по прежнему То есть эти файлы Цитата C:\Program Files\e_win.exe C:\Program Files\1.bat по-прежнему на месте? 43 минуты назад, newlogi сказал: или права администратора оставить только одному? Именно так. Цитата Ссылка на сообщение Поделиться на другие сайты
newlogi 1 Опубликовано 10 ноября, 2022 Автор Share Опубликовано 10 ноября, 2022 6 минут назад, Sandor сказал: То есть эти файлы Цитата C:\Program Files\e_win.exe C:\Program Files\1.bat по-прежнему на месте? Этих файлов нет. А вот "How To Restore Your Files.txt" есть практически в каждой папке, кроме тех папок, что указаны в скрипте. Архив из облака удалось скачать? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 10 ноября, 2022 Share Опубликовано 10 ноября, 2022 Понятно. Про архив ответил в личке. Записки с требованием выкупа можете просто удалить. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
newlogi 1 Опубликовано 10 ноября, 2022 Автор Share Опубликовано 10 ноября, 2022 архив перезалил. Ссылка в личке. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
newlogi 1 Опубликовано 11 ноября, 2022 Автор Share Опубликовано 11 ноября, 2022 Доброго дня, Уважаемым Хелперам! Есть ли новости по исследованию? И второй вопрос. Есть ли возможность очистить/восстановить систему? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 11 ноября, 2022 Share Опубликовано 11 ноября, 2022 Здравствуйте! Пока нет, возможно ближе к вечеру. 8 минут назад, newlogi сказал: Есть ли возможность очистить/восстановить систему? Скриптом из первого моего сообщения мы это уже сделали. Активного заражения нет. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 12 ноября, 2022 Share Опубликовано 12 ноября, 2022 Вымогатель Babuk, точнее - его разновидность. Как и предполагал, расшифровки нет. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
newlogi 1 Опубликовано 14 ноября, 2022 Автор Share Опубликовано 14 ноября, 2022 Понял, спасибо! Есть какие-нибудь рекомендации, что делать дальше? Что делать с программами, логами, которые скачивал и делал по Правилам? Не осталось ли следов от вируса? Что делать с зашифрованными файлами? Можно ли просто переустановить 1С? И т.п. )) Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 15 ноября, 2022 Share Опубликовано 15 ноября, 2022 17 часов назад, newlogi сказал: Не осталось ли следов от вируса? Нет. 17 часов назад, newlogi сказал: Что делать с зашифрованными файлами? Если есть возможность и необходимость (в надежде, что через неопределенное время появится расшифровка), можете их сохранить вместе с запиской "How To Restore Your Files.txt" 17 часов назад, newlogi сказал: Можно ли просто переустановить 1С? Да. Инструмент лечения удалите так: Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Проверьте уязвимые места системы: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Читайте Рекомендации после удаления вредоносного ПО 1 Цитата Ссылка на сообщение Поделиться на другие сайты
newlogi 1 Опубликовано 15 ноября, 2022 Автор Share Опубликовано 15 ноября, 2022 Принято. Отпишусь по окончании выполнения рекомендаций. Пока ещё вопрос. Есть предположение, как троян проник на сервак? Поясню почему спрашиваю. После того, как я перенёс его (заражённый сервак) в другое место, к себе поближе, один из ПК уже в этой локальной сети поймал шифровальщика (буквально сегодня). Могло этому заражению способствовать подключение заражённого сервера к данной локальной сети? И сколько машин могло заразиться, как бы вычислить? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 15 ноября, 2022 Share Опубликовано 15 ноября, 2022 1 минуту назад, newlogi сказал: Могло этому заражению способствовать подключение заражённого сервера к данной локальной сети? Не исключено, но маловероятно. Как правило заражение происходит из-за открытого порта для RDP и слабого пароля админской учётной записи. Раз уж речь зашла про локальную сеть, пересмотрите все открытые ресурсы (шары), их пароли и разрешения. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
newlogi 1 Опубликовано 15 ноября, 2022 Автор Share Опубликовано 15 ноября, 2022 7 часов назад, Sandor сказал: После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. К сожалению текстовый файл после выполнения скрипта не открылся. Что-то пошло не так. В окне программы появилось сообщение "Ошибка выполнения скрипта". (см.вложение) Уязвимости не определены. Возможно я что-то делаю не так. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.