не определен Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика

[kaje_14]

Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.

Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.

Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 

Никакого текста с вымоганием пока не нашёл.

Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt

Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar

[kmscom]

Нужен отчет в соответсвии https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

 

[kaje_14]

5 минут назад, kmscom сказал:

Нужен отчет в соответсвии https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

 

а что именно неправильно? Или я что-то не понял, извините

[safety]

1 час назад, kaje_14 сказал:

Никакого текста с вымоганием пока не нашёл.

Attention.hta - это и есть записка о выкупе.

 

Цитата

Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.

Этот ПК тоже зашифрован?

+

проверьте ЛС.

 

Изменено 7 августа пользователем safety

[kaje_14]

45 минут назад, safety сказал:

Attention.hta - это и есть записка о выкупе.

 

Этот ПК тоже зашифрован?

+

проверьте ЛС.

 

да, этот ПК тоже зашифрован. Кажется был взломан ночью. Вчера я для сотрудника настроил RDP, Windows 10 стоит, со своим дефендором включенным. Сотрудник поработал потом отключился. Я зашел туда, оба учетных записи заблокированы: и Администратор и учетка для сотрудника, тоже с функциями администратора

[thyrex]

2 часа назад, kaje_14 сказал:

а что именно неправильно? Или я что-то не понял, извините

FRST.txt не прислали

[kaje_14]

7 часов назад, thyrex сказал:

FRST.txt не прислали

оО забыл прикрепить, вот

FRST.txt

 

сделал логи FRST и ESVC с ПК который  (кажется) был сперва заражен (после которого вирус проник и на файловый сервер). Логи прикрепляю

Addition.txt ESVC_DESKTOP-2BNSU92_20250807173502.zip FRST.txt Shortcut.txt

[safety]

Этот файл добавьте в архив с паролем virus, архив загрузите  на облачный диск, и дайте ссылку на скачивание здесь. Возможно это файл шифровальщика или как то связан с атакой.

2025-08-06 18:12 - 2025-08-06 18:12 - 001115136 _____ (xDedic INC.) C:\Windows\xDLS.exe

---------

Возможно, что запуск шифрования сервера был по сети именно с этого ПК, наверняка серверные диски были подключены как сетевые шары к этому ПК, потому и нет следов запуска на сервере, и затронуты только дополнительные диски.

 

Это не шифровальщик, но аозможно бэкдор и он активен, в автозапуске.

R2 xDLService; C:\Windows\xDLS.exe [1115136 2025-08-06] (xDedic INC.) [Файл не подписан]

https://www.virustotal.com/gui/file/d00cfb07692ea3d0533f082a14295f7e18383420c2a940a024030c8bad67fb3a

Изменено 7 августа пользователем safety

[safety]

Сделайте, пожалуйста, на этом ПК проверку в KVRT, посмотрим что он найдет

 

А вот это что за объект?

            <Event3 Action="Detect" Time="133990377385256722" Object="C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e1e61bd68be91d6b1f6a222e4c3c896b.exe" Info="HEUR:Trojan.Win32.Generic" />

пробуйте извлечь его из карантина, после восстановления переименовать в  e1e61bd68be91d6b1f6a222e4c3c896b.Vexe чтобы он не запустился, заархивировать с паролем virus, загрузить архив так же в облако и дать ссылке. Затем этот файл можно удалить

report_2025.08.07_19.50.42.klr.rar

Изменено 7 августа пользователем safety

[safety]

14 часов назад, safety сказал:

e1e61bd68be91d6b1f6a222e4c3c896b.Vexe

бэкдор.

https://www.virustotal.com/gui/file/9f623b7100562e72bd0434ecb1090ce3799e893c50fb7e3b04ba866c9c77d85b/detection

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(services.exe ->) (xDedic INC.) [Файл не подписан] C:\Windows\xDLS.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
R2 xDLService; C:\Windows\xDLS.exe [1115136 2025-08-06] (xDedic INC.) [Файл не подписан]
2025-08-07 23:17 - 2025-08-07 23:20 - 000000000 _____ C:\Recovery.txt
2025-08-07 17:33 - 2025-08-07 17:33 - 000000000 ____D C:\Users\rv\Desktop\Новая папка
2025-08-06 18:36 - 2025-08-07 00:42 - 021050672 _____ C:\Users\rv\Desktop\Advanced_IP_Scanner_2.5.4594.1.exe_ [UID=YMG-MBMFV
2025-08-06 18:12 - 2025-08-06 18:12 - 001115136 _____ (xDedic INC.) C:\Windows\xDLS.exe
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e1e61bd68be91d6b1f6a222e4c3c896b.Vexe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 8 августа пользователем safety

[kaje_14]

2 часа назад, safety сказал:

бэкдор.

https://www.virustotal.com/gui/file/9f623b7100562e72bd0434ecb1090ce3799e893c50fb7e3b04ba866c9c77d85b/detection

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(services.exe ->) (xDedic INC.) [Файл не подписан] C:\Windows\xDLS.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
R2 xDLService; C:\Windows\xDLS.exe [1115136 2025-08-06] (xDedic INC.) [Файл не подписан]
2025-08-07 23:17 - 2025-08-07 23:20 - 000000000 _____ C:\Recovery.txt
2025-08-07 17:33 - 2025-08-07 17:33 - 000000000 ____D C:\Users\rv\Desktop\Новая папка
2025-08-06 18:36 - 2025-08-07 00:42 - 021050672 _____ C:\Users\rv\Desktop\Advanced_IP_Scanner_2.5.4594.1.exe_ [UID=YMG-MBMFV
2025-08-06 18:12 - 2025-08-06 18:12 - 001115136 _____ (xDedic INC.) C:\Windows\xDLS.exe
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e1e61bd68be91d6b1f6a222e4c3c896b.Vexe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

когда я сбросил пароль и зашел в учетку Администратора (он там долго очень входил, потом экран мигает все черное, часть панели задач видна, стрелка мышки тоже еле видна, всё мигает, ни на что не реагирует). Пытался через Безопасный режим, не заходит, через установщик зашел и там показывает что учетной записи rv больше нет, только глючный Администратор. Эх

2 часа назад, safety сказал:

бэкдор.

https://www.virustotal.com/gui/file/9f623b7100562e72bd0434ecb1090ce3799e893c50fb7e3b04ba866c9c77d85b/detection

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(services.exe ->) (xDedic INC.) [Файл не подписан] C:\Windows\xDLS.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
R2 xDLService; C:\Windows\xDLS.exe [1115136 2025-08-06] (xDedic INC.) [Файл не подписан]
2025-08-07 23:17 - 2025-08-07 23:20 - 000000000 _____ C:\Recovery.txt
2025-08-07 17:33 - 2025-08-07 17:33 - 000000000 ____D C:\Users\rv\Desktop\Новая папка
2025-08-06 18:36 - 2025-08-07 00:42 - 021050672 _____ C:\Users\rv\Desktop\Advanced_IP_Scanner_2.5.4594.1.exe_ [UID=YMG-MBMFV
2025-08-06 18:12 - 2025-08-06 18:12 - 001115136 _____ (xDedic INC.) C:\Windows\xDLS.exe
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e1e61bd68be91d6b1f6a222e4c3c896b.Vexe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

поэтому в данный момент этот скрипт не могу выполнить. По идее данные этого компьютера  не так важны, он со старого перекинут и недавно установлен был. Плохо что следы больше не останутся

[safety]

Общие рекомендации:

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[kaje_14]

35 минут назад, safety сказал:

Общие рекомендации:

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

По 8 пункту: Open VPN если правильно настроить довольно безопасен ведь? И что насчёт Hamachi? Мы его использовали раньше, но сейчас нормальных аналогов не можем найти.

Сервер со старой Windows Server 2008 наверное переустановим, что посоветуете? Файловый сервер на основе Линукса получше будет?

 

[safety]

15 минут назад, kaje_14 сказал:

Сервер со старой Windows Server 2008 наверное переустановим, что посоветуете? Файловый сервер на основе Линукса получше будет?

 

Как видите, файлы на этом сервере были зашифрованы даже не заходя на сам сервер, а потому что диски были в общем доступе с другого устройства, через которое сервер был атакован.