Шифровальщик likilock@india.com запаковал с паролем все значимые файлы.

[AndreyNag]

Здравствуйте.

Подхватили шифровальщика. Вчера всё было хорошо, а с утра база 1С недоступна.

После анализа выяснилось, что вирус собрал на "сервере" с двух из трёх дисков на системный информацию и запаковал её с помощью 7z с паролем. Восстановление со ставших чистыми дисков к успеху не привело. Вирус не только удалил информацию, но и очистил диски для исключения возможности восстановления.

В сухом остатке полуживая система с запаролеными архивами. Не разу не слышал, чтобы кто-то что-то расшифровал кроме как через уплату выкупа вымогателю. Однако не возможно гарантировать, что вирус не остался и не будут подвержены атаке другие компьютеры в сети. А по сему необходима ваша помощь в очистке компа от остатков вируса и исключения вредоносного воздействия на другие ПК.

 

Для информации: Windows 7 x64 WinUpdate включен, актуальная, активированная, обновленная версия KIS.

К стати, почему KIS пропустил и допустил такое?

 

Спасибо за внимание.

CollectionLog-2017.01.20-17.12.zip

Изменено 20 января, 2017 пользователем AndreyNag

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[mike 1]

 

Кстати, почему KIS пропустил и допустил такое?

А разве непонятно, что к Вам удаленно зашли через RDP? 

[AndreyNag]

Порядок оформления запроса о помощи

Файл прикреплял, но не прикрепился.

Исправился. Файл автолога в первом сообщении.

Спасибо за внимание.

 

 

Кстати, почему KIS пропустил и допустил такое?

А разве непонятно, что к Вам удаленно зашли через RDP? 

 

Ваша правда RDP открыт, но пароль достаточно сложный. Роутер прикрыт паролем тоже. Подозрительную почту никто не открывал, по крайней мере так говорят. ;-) 

Пока ума не приложу каким путём вирус проник в сеть.

Изменено 20 января, 2017 пользователем AndreyNag

[mike 1]

Достаточно сложный - это сколько символов, есть ли там цифры, буквы и спец. символы? + Порт у вас стандартный - 3389? Еще иногда брутфорсят стандартный порт Radmin.

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Изменено 20 января, 2017 пользователем mike 1

[AndreyNag]

Здравствуйте, mike 1.

Прилагаю результат работы сканера.

 

Addition.txt

FRST.txt

[mike 1]

По логам сервера смотрите что запускали злоумышленники. В 7zip используется AES-256 для шифрования архива.

[AndreyNag]

Спасибо, проштудирую журналы и список задач планировщика. Без него вряд ли обошлось. Но вряд ли главный скрипт остался на ПК. 

И вопрос: когда автологгер сканировал комп, он обратил внимание на неизвестный загрузчик на дисках. Как убедиться в том, что загрузчик не опасен.

KIS ничего не нашел при сканировании. Кроме восстановления информации меня сильно интересует не остались ли следы и вероятность возвращения вируса. Если это был вирус конечно.

Сохраню образ диска для экспериментов и начну ставить всё с нуля после полного вайпа носителей включая область boot.

Жаль, что нет возможности "узнать" пароль.

Спасибо за внимание.

[mike 1]

И вопрос: когда автологгер сканировал комп, он обратил внимание на неизвестный загрузчик на дисках. Как убедиться в том, что загрузчик не опасен.

Вы имеете ввиду красные записи, которые появлялись при сканировании утилитой AVZ? Если да, то такие перехватчики (красные записи) есть на любой системе.

 

KIS ничего не нашел при сканировании. Кроме восстановления информации меня сильно интересует не остались ли следы и вероятность возвращения вируса. Если это был вирус конечно.

На этом компьютере вирусов не видно. Базовые рекомендации по настройке сервера есть здесь https://1cloud.ru/help/windows/windowssecurity

[AndreyNag]

По логам сервера смотрите что запускали злоумышленники. В 7zip используется AES-256 для шифрования архива.

Подскажите пожалуйста как по логам посмотреть что запускали? На первый взгляд в журналах ничего подозрительного не видно. По умолчанию там же не ведётся журнал все выполняемых команд из командной строки?!

 

Поиском по содержимому всех файлов найдено упоминание мыльного адреса вымогателя в пользовательском куске реестра и логах. Подскажите чем их прочитать? Far показывает только вхождение теста, без структуры файла и т.п.

Изменено 22 января, 2017 пользователем AndreyNag

[AndreyNag]

Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов. Ведь централизованно с применением ресурсов транснациональной компании можн осдвинуть даже такую гору как шифровальщики. Конечно исключить вредоносное воздействие это не поможет, но снизить доходность этого вида бизнеса конечно сможет.

В состоянии цейтнот пароль купил за кровные.

Так что тему можно закрывать.

[mike 1]

 

 

Подскажите пожалуйста как по логам посмотреть что запускали?

Панель управления => Администрирование => Просмотр событий

 

Помните, что журналы могли быть очищены. 

 

 

 

Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов.

Лаборатория Касперского оказывает такую помощь только лицензионным пользователям, если конечно такая помощь возможна. 

[AndreyNag]

Панель управления => Администрирование => Просмотр событий

 

Помните, что журналы могли быть очищены.

В журналах нет никаких упоминаний о запуске чего-то подозрительного как нет упоминаний и в содержимом файлов и реестра.  Чисто сработано.

 

Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов.

Лаборатория Касперского оказывает такую помощь только лицензионным пользователям, если конечно такая помощь возможна.

Я такой лицензионный, что прям дальше некуда. На всех компах много лет стоит KIS. Могу лицензионные карточки пофоткать. 

[mike 1]

 

Панель управления => Администрирование => Просмотр событий

 

Помните, что журналы могли быть очищены.

В журналах нет никаких упоминаний о запуске чего-то подозрительного как нет упоминаний и в содержимом файлов и реестра.  Чисто сработано.

 

Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов.

Лаборатория Касперского оказывает такую помощь только лицензионным пользователям, если конечно такая помощь возможна.

Я такой лицензионный, что прям дальше некуда. На всех компах много лет стоит KIS. Могу лицензионные карточки пофоткать. 

 

Здесь https://forum.kasperskyclub.ru/index.php?showtopic=48525есть инструкция по созданию запроса.

[AndreyNag]

Здесь https://forum.kasperskyclub.ru/index.php?showtopic=48525есть инструкция по созданию запроса.

Дорога ложка к обеду. Уже заплатили кровные, получили ключик, восстановили порушенную систему и работаем дальше.

Я про свой случай даже не намекал. Вопрос в том, чтобы подойти к решению этой проблемы системно и не силами энтузиастов, за что им отдельное Большое Человеческое СПАСИБО, а силами корпорации, а может даже нескольких.

Как-то так.