AndreyNag Опубликовано 20 января, 2017 Share Опубликовано 20 января, 2017 (изменено) Здравствуйте. Подхватили шифровальщика. Вчера всё было хорошо, а с утра база 1С недоступна. После анализа выяснилось, что вирус собрал на "сервере" с двух из трёх дисков на системный информацию и запаковал её с помощью 7z с паролем. Восстановление со ставших чистыми дисков к успеху не привело. Вирус не только удалил информацию, но и очистил диски для исключения возможности восстановления. В сухом остатке полуживая система с запаролеными архивами. Не разу не слышал, чтобы кто-то что-то расшифровал кроме как через уплату выкупа вымогателю. Однако не возможно гарантировать, что вирус не остался и не будут подвержены атаке другие компьютеры в сети. А по сему необходима ваша помощь в очистке компа от остатков вируса и исключения вредоносного воздействия на другие ПК. Для информации: Windows 7 x64 WinUpdate включен, актуальная, активированная, обновленная версия KIS. К стати, почему KIS пропустил и допустил такое? Спасибо за внимание. CollectionLog-2017.01.20-17.12.zip Изменено 20 января, 2017 пользователем AndreyNag Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 20 января, 2017 Share Опубликовано 20 января, 2017 Порядок оформления запроса о помощи 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 20 января, 2017 Share Опубликовано 20 января, 2017 Кстати, почему KIS пропустил и допустил такое? А разве непонятно, что к Вам удаленно зашли через RDP? 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
AndreyNag Опубликовано 20 января, 2017 Автор Share Опубликовано 20 января, 2017 (изменено) Порядок оформления запроса о помощи Файл прикреплял, но не прикрепился. Исправился. Файл автолога в первом сообщении. Спасибо за внимание. Кстати, почему KIS пропустил и допустил такое? А разве непонятно, что к Вам удаленно зашли через RDP? Ваша правда RDP открыт, но пароль достаточно сложный. Роутер прикрыт паролем тоже. Подозрительную почту никто не открывал, по крайней мере так говорят. ;-) Пока ума не приложу каким путём вирус проник в сеть. Изменено 20 января, 2017 пользователем AndreyNag Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 20 января, 2017 Share Опубликовано 20 января, 2017 (изменено) Достаточно сложный - это сколько символов, есть ли там цифры, буквы и спец. символы? + Порт у вас стандартный - 3389? Еще иногда брутфорсят стандартный порт Radmin. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Изменено 20 января, 2017 пользователем mike 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
AndreyNag Опубликовано 21 января, 2017 Автор Share Опубликовано 21 января, 2017 Здравствуйте, mike 1. Прилагаю результат работы сканера. Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 21 января, 2017 Share Опубликовано 21 января, 2017 По логам сервера смотрите что запускали злоумышленники. В 7zip используется AES-256 для шифрования архива. Ссылка на комментарий Поделиться на другие сайты More sharing options...
AndreyNag Опубликовано 21 января, 2017 Автор Share Опубликовано 21 января, 2017 Спасибо, проштудирую журналы и список задач планировщика. Без него вряд ли обошлось. Но вряд ли главный скрипт остался на ПК. И вопрос: когда автологгер сканировал комп, он обратил внимание на неизвестный загрузчик на дисках. Как убедиться в том, что загрузчик не опасен. KIS ничего не нашел при сканировании. Кроме восстановления информации меня сильно интересует не остались ли следы и вероятность возвращения вируса. Если это был вирус конечно. Сохраню образ диска для экспериментов и начну ставить всё с нуля после полного вайпа носителей включая область boot. Жаль, что нет возможности "узнать" пароль. Спасибо за внимание. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 22 января, 2017 Share Опубликовано 22 января, 2017 И вопрос: когда автологгер сканировал комп, он обратил внимание на неизвестный загрузчик на дисках. Как убедиться в том, что загрузчик не опасен.Вы имеете ввиду красные записи, которые появлялись при сканировании утилитой AVZ? Если да, то такие перехватчики (красные записи) есть на любой системе. KIS ничего не нашел при сканировании. Кроме восстановления информации меня сильно интересует не остались ли следы и вероятность возвращения вируса. Если это был вирус конечно.На этом компьютере вирусов не видно. Базовые рекомендации по настройке сервера есть здесь https://1cloud.ru/help/windows/windowssecurity Ссылка на комментарий Поделиться на другие сайты More sharing options...
AndreyNag Опубликовано 22 января, 2017 Автор Share Опубликовано 22 января, 2017 (изменено) По логам сервера смотрите что запускали злоумышленники. В 7zip используется AES-256 для шифрования архива.Подскажите пожалуйста как по логам посмотреть что запускали? На первый взгляд в журналах ничего подозрительного не видно. По умолчанию там же не ведётся журнал все выполняемых команд из командной строки?! Поиском по содержимому всех файлов найдено упоминание мыльного адреса вымогателя в пользовательском куске реестра и логах. Подскажите чем их прочитать? Far показывает только вхождение теста, без структуры файла и т.п. Изменено 22 января, 2017 пользователем AndreyNag Ссылка на комментарий Поделиться на другие сайты More sharing options...
AndreyNag Опубликовано 22 января, 2017 Автор Share Опубликовано 22 января, 2017 Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов. Ведь централизованно с применением ресурсов транснациональной компании можн осдвинуть даже такую гору как шифровальщики. Конечно исключить вредоносное воздействие это не поможет, но снизить доходность этого вида бизнеса конечно сможет. В состоянии цейтнот пароль купил за кровные. Так что тему можно закрывать. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 23 января, 2017 Share Опубликовано 23 января, 2017 Подскажите пожалуйста как по логам посмотреть что запускали? Панель управления => Администрирование => Просмотр событий Помните, что журналы могли быть очищены. Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов. Лаборатория Касперского оказывает такую помощь только лицензионным пользователям, если конечно такая помощь возможна. Ссылка на комментарий Поделиться на другие сайты More sharing options...
AndreyNag Опубликовано 23 января, 2017 Автор Share Опубликовано 23 января, 2017 Панель управления => Администрирование => Просмотр событий Помните, что журналы могли быть очищены. В журналах нет никаких упоминаний о запуске чего-то подозрительного как нет упоминаний и в содержимом файлов и реестра. Чисто сработано. Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов. Лаборатория Касперского оказывает такую помощь только лицензионным пользователям, если конечно такая помощь возможна. Я такой лицензионный, что прям дальше некуда. На всех компах много лет стоит KIS. Могу лицензионные карточки пофоткать. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 23 января, 2017 Share Опубликовано 23 января, 2017 Панель управления => Администрирование => Просмотр событий Помните, что журналы могли быть очищены. В журналах нет никаких упоминаний о запуске чего-то подозрительного как нет упоминаний и в содержимом файлов и реестра. Чисто сработано. Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов. Лаборатория Касперского оказывает такую помощь только лицензионным пользователям, если конечно такая помощь возможна. Я такой лицензионный, что прям дальше некуда. На всех компах много лет стоит KIS. Могу лицензионные карточки пофоткать. Здесь https://forum.kasperskyclub.ru/index.php?showtopic=48525есть инструкция по созданию запроса. Ссылка на комментарий Поделиться на другие сайты More sharing options...
AndreyNag Опубликовано 24 января, 2017 Автор Share Опубликовано 24 января, 2017 Здесь https://forum.kasperskyclub.ru/index.php?showtopic=48525есть инструкция по созданию запроса.Дорога ложка к обеду. Уже заплатили кровные, получили ключик, восстановили порушенную систему и работаем дальше. Я про свой случай даже не намекал. Вопрос в том, чтобы подойти к решению этой проблемы системно и не силами энтузиастов, за что им отдельное Большое Человеческое СПАСИБО, а силами корпорации, а может даже нескольких. Как-то так. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения