Вирус-шифровальщик @tutanota.com

[Vlad21]

Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое: 

              ~~~ Scream V1.1~~~            
>>> What happened?
    We encrypted and stolen all of your files.
    We use AES and ECC algorithms.
    Nobody can recover your files without our decryption service.

>>> How to recover?
    We are not a politically motivated group and we want nothing more than money.
    If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?
    You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
    If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?
   Our email address: Scream_@tutanota.com
   In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
   Write your personal ID in the subject of the email.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
                        >>>>> SCREAM 1.1 <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>> Warnings!
  - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
   They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
  - Do not hesitate for a long time. The faster you pay, the lower the price.
  - Do not delete or modify encrypted files, it will lead to problems with decryption of files.

Подскажите, пожалуйста, что делать?

Данных как-будто нет. 
Заранее спасибо!
 

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Vlad21]

1. Логи анализа системы прикрепил

2. Зашифрованных файлов нет

3. Файл с требованиями прикрепил

4. Файл шифровальщика вроде не нашел

Addition.txt FRST.txt SCREAM.txt

[Sandor]

20 часов назад, Vlad21 сказал:

Данных как-будто нет.

 

19 часов назад, Vlad21 сказал:

Зашифрованных файлов нет

 

Поясните - они были и сейчас отсутствуют?

[Vlad21]

Да, все было, а сейчас отсутствуют. Связался с взломщиками через эл. почту, говорят якобы данные у них на сервере, в подтверждение говорят будто бы у нас там была 1С. Но у нас 1С не было. 

[Sandor]

По одной только записке трудно определить тип вымогателя.

В текущем состоянии в системе видны несколько серьёзных уязвимостей. Если не планируете её переустановку, можем попробовать исправить.

 

• Не отключайте сеть.
• Выделите следующий код:

  Start::
  HKU\S-1-5-21-1984363676-1101406014-2877031099-500\...\MountPoints2: {09f6ca52-33ac-11e6-896f-000e0c855d17} - F:\setup.exe
  Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\360急救箱回访.lnk [2023-09-30]
  ShortcutTarget: 360急救箱回访.lnk -> C:\Program Files\360\360sd\firstaid\Fix\YuW7vZ5Y2.exe (Нет файла)
  Task: {0E6D339A-9BD7-46B8-8DF0-F6A8373FB617} - System32\Tasks\Microsoft\Windows\RAC\BackUpEvent => C:\Windows\SysWOW64\lsass.exe  (Нет файла) <==== ВНИМАНИЕ
  R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2023-09-10] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dsmainsrv; "C:\Program Files\360\360sd\deepscan\dsmain.exe" /srv [X]
  2023-09-10 10:37 - 2023-09-10 10:37 - 000000000 ____D C:\Program Files\RDP Wrapper
  2023-09-10 10:35 - 2023-09-10 10:35 - 002373632 _____ (TODO: <Company name>) C:\Windows\system32\rwmmr.exe
  2023-09-10 10:35 - 2023-09-10 10:35 - 002373632 _____ (TODO: <Company name>) C:\Windows\system32\mmr.exe
  2023-09-10 10:35 - 2023-09-10 10:35 - 001460224 _____ (Stas'M Corp.) C:\Windows\system32\rwi.exe
  2023-09-10 10:30 - 2023-09-30 13:57 - 000000000 ___HD C:\Users\administrator\AppData\Roaming\svchost
  FirewallRules: [{6EBD743E-AB74-48DD-8D4C-CA7C83FED1D9}] => (Allow) C:\Windows\SysWOW64\lsass.exe => Нет файла
  FirewallRules: [{B7124485-8BF0-4C89-9FF3-ED168F42E234}] => (Allow) LPort=3389
  FirewallRules: [{88872F9A-B7A7-4DB1-A9A8-E36E46ECF3E4}] => (Allow) C:\Program Files\360\360sd\360sdupd.exe => Нет файла
  FirewallRules: [{A64F9FD9-FA5C-4602-9AD3-44678FDE7549}] => (Allow) C:\Program Files\360\360sd\360sdupd.exe => Нет файла
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную. После перезагрузки соберите новые логи FRST.txt и Addition.txt

Подробнее читайте в этом руководстве.

[Vlad21]

У нас было 2 сервера: один доступен извне, второй должен был быть доступен только с первого по внутренней сети, но так получилось, что почему-то 2-й сервер был доступен извне и именно его взломали, изменили пароль и зашифровали (или удалили данные). Мы всегда заходили на 1-й сервер извне по rdp, а на 2-й по rdp с первого сервера. На 2-м сервере системные администраторы нашего хостера сбросили пароль, установили новый, далее мы попросили администраторов закрыть доступ на 2-й извне, они это сделали, потом долго настраивали, чтобы 2-й сервер был доступен по rdp по внутренней сети, наконец настроили. После этого мы запустили FRST (FRST64) (исправить) с описанным выше кодом, перезагрузили сервер и все: сервер загрузился, но он недоступен по rdp и теперь администраторы нашего хостера никак не могут настроить внутреннюю сеть для доступа на 2-й сервер по rdp. Поэтому мы не можем продолжить работу на проблемном сервере, т.е. собрать новые логи FRST.txt и Addition.txt. Подскажите, пожалуйста, может из-за того кода так произошло и если да, то какой код запустить, чтобы администраторы смогли наконец настроить.

[Vlad21]

Наконец настроили. 

Новые логи FRST.txt и Addition.txt прикрепил.

Addition.txt Fixlog.txt FRST.txt

[Sandor]

На этом всё. Пароли администраторов смените для верности. Если требуется подключение по RDP, прячьте его за VPN.

Читайте Рекомендации после удаления вредоносного ПО

[Vlad21]

Еще вопрос: у нас на жестком диске были тома С и D, а после взлома еще и том А появился и он по-прежнему есть, на нем текстовый файл с требованиями шифровальщиков и еще файл BOOTSECT.BAK.Scream_@tutanotacomSCREAM (я его переименовал в bootsect.txt чтобы можно было сюда прикрепить). 

Может тогда данные и не исчезли, а что-то с загрузочным сектором надо сделать? Или уже не вернуть данные? Если так, то что делать с жестким диском - переформатировать и по-новой систему поставить?

BOOTSECT.txt

[Sandor]

18 часов назад, Vlad21 сказал:

Или уже не вернуть данные?

Скорее всего так.

 

18 часов назад, Vlad21 сказал:

переформатировать и по-новой систему поставить?

Да, это будет правильное решение.