Перейти к содержанию

Шифровальщик likilock@india.com запаковал с паролем все значимые файлы.


Рекомендуемые сообщения

Здравствуйте.

Подхватили шифровальщика. Вчера всё было хорошо, а с утра база 1С недоступна.

После анализа выяснилось, что вирус собрал на "сервере" с двух из трёх дисков на системный информацию и запаковал её с помощью 7z с паролем. Восстановление со ставших чистыми дисков к успеху не привело. Вирус не только удалил информацию, но и очистил диски для исключения возможности восстановления.

В сухом остатке полуживая система с запаролеными архивами. Не разу не слышал, чтобы кто-то что-то расшифровал кроме как через уплату выкупа вымогателю. Однако не возможно гарантировать, что вирус не остался и не будут подвержены атаке другие компьютеры в сети. А по сему необходима ваша помощь в очистке компа от остатков вируса и исключения вредоносного воздействия на другие ПК.

 

Для информации: Windows 7 x64 WinUpdate включен, актуальная, активированная, обновленная версия KIS.

К стати, почему KIS пропустил и допустил такое?

 

Спасибо за внимание.

CollectionLog-2017.01.20-17.12.zip

Изменено пользователем AndreyNag
Ссылка на сообщение
Поделиться на другие сайты

 

Кстати, почему KIS пропустил и допустил такое?

А разве непонятно, что к Вам удаленно зашли через RDP? 

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Файл прикреплял, но не прикрепился.

Исправился. Файл автолога в первом сообщении.

Спасибо за внимание.

 

 

Кстати, почему KIS пропустил и допустил такое?

А разве непонятно, что к Вам удаленно зашли через RDP? 

 

Ваша правда RDP открыт, но пароль достаточно сложный. Роутер прикрыт паролем тоже. Подозрительную почту никто не открывал, по крайней мере так говорят. ;-) 

Пока ума не приложу каким путём вирус проник в сеть.

Изменено пользователем AndreyNag
Ссылка на сообщение
Поделиться на другие сайты

Достаточно сложный - это сколько символов, есть ли там цифры, буквы и спец. символы? + Порт у вас стандартный - 3389? Еще иногда брутфорсят стандартный порт Radmin.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png Изменено пользователем mike 1
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

По логам сервера смотрите что запускали злоумышленники. В 7zip используется AES-256 для шифрования архива.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо, проштудирую журналы и список задач планировщика. Без него вряд ли обошлось. Но вряд ли главный скрипт остался на ПК. 

И вопрос: когда автологгер сканировал комп, он обратил внимание на неизвестный загрузчик на дисках. Как убедиться в том, что загрузчик не опасен.

KIS ничего не нашел при сканировании. Кроме восстановления информации меня сильно интересует не остались ли следы и вероятность возвращения вируса. Если это был вирус конечно.

Сохраню образ диска для экспериментов и начну ставить всё с нуля после полного вайпа носителей включая область boot.

Жаль, что нет возможности "узнать" пароль.

Спасибо за внимание.

Ссылка на сообщение
Поделиться на другие сайты

И вопрос: когда автологгер сканировал комп, он обратил внимание на неизвестный загрузчик на дисках. Как убедиться в том, что загрузчик не опасен.

Вы имеете ввиду красные записи, которые появлялись при сканировании утилитой AVZ? Если да, то такие перехватчики (красные записи) есть на любой системе.

 

KIS ничего не нашел при сканировании. Кроме восстановления информации меня сильно интересует не остались ли следы и вероятность возвращения вируса. Если это был вирус конечно.

На этом компьютере вирусов не видно. Базовые рекомендации по настройке сервера есть здесь https://1cloud.ru/help/windows/windowssecurity
Ссылка на сообщение
Поделиться на другие сайты

По логам сервера смотрите что запускали злоумышленники. В 7zip используется AES-256 для шифрования архива.

Подскажите пожалуйста как по логам посмотреть что запускали? На первый взгляд в журналах ничего подозрительного не видно. По умолчанию там же не ведётся журнал все выполняемых команд из командной строки?!

 

Поиском по содержимому всех файлов найдено упоминание мыльного адреса вымогателя в пользовательском куске реестра и логах. Подскажите чем их прочитать? Far показывает только вхождение теста, без структуры файла и т.п.

Изменено пользователем AndreyNag
Ссылка на сообщение
Поделиться на другие сайты

Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов. Ведь централизованно с применением ресурсов транснациональной компании можн осдвинуть даже такую гору как шифровальщики. Конечно исключить вредоносное воздействие это не поможет, но снизить доходность этого вида бизнеса конечно сможет.

В состоянии цейтнот пароль купил за кровные.

Так что тему можно закрывать.

Ссылка на сообщение
Поделиться на другие сайты

 

 

Подскажите пожалуйста как по логам посмотреть что запускали?

Панель управления => Администрирование => Просмотр событий

 

Помните, что журналы могли быть очищены. 

 

 

 

Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов.

Лаборатория Касперского оказывает такую помощь только лицензионным пользователям, если конечно такая помощь возможна. 

Ссылка на сообщение
Поделиться на другие сайты

Панель управления => Администрирование => Просмотр событий

 

Помните, что журналы могли быть очищены.

В журналах нет никаких упоминаний о запуске чего-то подозрительного как нет упоминаний и в содержимом файлов и реестра.  Чисто сработано.

 

Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов.

Лаборатория Касперского оказывает такую помощь только лицензионным пользователям, если конечно такая помощь возможна.

Я такой лицензионный, что прям дальше некуда. На всех компах много лет стоит KIS. Могу лицензионные карточки пофоткать.  :punk:

Ссылка на сообщение
Поделиться на другие сайты

 

Панель управления => Администрирование => Просмотр событий

 

Помните, что журналы могли быть очищены.

В журналах нет никаких упоминаний о запуске чего-то подозрительного как нет упоминаний и в содержимом файлов и реестра.  Чисто сработано.

 

Скажите пожалуйста, а kaspersky не планирует централизованно помогать пострадавшим от шифраторов.

Лаборатория Касперского оказывает такую помощь только лицензионным пользователям, если конечно такая помощь возможна.

Я такой лицензионный, что прям дальше некуда. На всех компах много лет стоит KIS. Могу лицензионные карточки пофоткать.  :punk:

 

Здесь https://forum.kasperskyclub.ru/index.php?showtopic=48525есть инструкция по созданию запроса.
Ссылка на сообщение
Поделиться на другие сайты

Здесь https://forum.kasperskyclub.ru/index.php?showtopic=48525есть инструкция по созданию запроса.

Дорога ложка к обеду. Уже заплатили кровные, получили ключик, восстановили порушенную систему и работаем дальше.

Я про свой случай даже не намекал. Вопрос в том, чтобы подойти к решению этой проблемы системно и не силами энтузиастов, за что им отдельное Большое Человеческое СПАСИБО, а силами корпорации, а может даже нескольких.

Как-то так.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...