wannacry - очередная жертва

[odanilov]

Добрый день!

(видимо не для меня)

 

Ситуация такая - множество дисков, примонтированных по iscsi пало жертвой сего вируса, 

расширение файлов .wncry , в каждой папке есть файл "Как расшифровать файлы.TXT"

Что делать в такой ситуации?

прикрепляю результат скана, выполненго в зашифрованном каталоге и архив с текстом "Как расшифровать" + зашифрованный файл

 

также прикрепляю в архиве пару - зашифрованный  и незашифрованный файлы

антивирусом был обнаружен и обезврежен процесс tool.instsrv.3 nssm64.exe

возможно это как-то поможет.

везде на всех папках и дисках и зараженных компьютерах один и тот же идентификатор в файле "Как расшифровать файлы.TXT"

AISOFT.7z

CollectionLog-2017.10.15-00.36.zip

Кабинет 210.7z

[thyrex]

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\Tasks\At10.job','32');
 DeleteFile('C:\Windows\Tasks\At11.job','32');
 DeleteFile('C:\Windows\Tasks\At12.job','32');
 DeleteFile('C:\Windows\Tasks\At13.job','32');
 DeleteFile('C:\Windows\Tasks\At14.job','32');
 DeleteFile('C:\Windows\Tasks\At15.job','32');
 DeleteFile('C:\Windows\Tasks\At16.job','32');
 DeleteFile('C:\Windows\Tasks\At17.job','32');
 DeleteFile('C:\Windows\Tasks\At2.job','32');
 DeleteFile('C:\Windows\Tasks\At3.job','32');
 DeleteFile('C:\Windows\Tasks\At4.job','32');
 DeleteFile('C:\Windows\Tasks\At5.job','32');
 DeleteFile('C:\Windows\Tasks\At6.job','32');
 DeleteFile('C:\Windows\Tasks\At7.job','32');
 DeleteFile('C:\Windows\Tasks\At8.job','32');
 DeleteFile('C:\Windows\Tasks\At9.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','64');
 DeleteFile('C:\Windows\system32\Tasks\At10','64');
 DeleteFile('C:\Windows\system32\Tasks\At11','64');
 DeleteFile('C:\Windows\system32\Tasks\At12','64');
 DeleteFile('C:\Windows\system32\Tasks\At13','64');
 DeleteFile('C:\Windows\system32\Tasks\At14','64');
 DeleteFile('C:\Windows\system32\Tasks\At15','64');
 DeleteFile('C:\Windows\system32\Tasks\At16','64');
 DeleteFile('C:\Windows\system32\Tasks\At17','64');
 DeleteFile('C:\Windows\system32\Tasks\At2','64');
 DeleteFile('C:\Windows\system32\Tasks\At3','64');
 DeleteFile('C:\Windows\system32\Tasks\At4','64');
 DeleteFile('C:\Windows\system32\Tasks\At5','64');
 DeleteFile('C:\Windows\system32\Tasks\At6','64');
 DeleteFile('C:\Windows\system32\Tasks\At7','64');
 DeleteFile('C:\Windows\system32\Tasks\At8','64');
 DeleteFile('C:\Windows\system32\Tasks\At9','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Перезагрузку компьютера выполните вручную.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[odanilov]

Скажте пожалуйста, даный скрипт выполнить на любом компьютере с зашифрованными файлами?

Ситауция такая, то несколько компьютеров стало жертвой и некоторые из них не грузятся нигде кроме безопасного режима, а лог вообще был выполнен на сервере, где тоже зашифровались некоторые файлы, видимо через share.

В данный момент эти компьютеры отключены, правильно ли я поинмаю, что я включаю любой из них вне сети, выполняю данный код, перезагружаю, беру логи на флешку, присылаю и жду ответа?

 

или мне надо именно на том сервере выполнять код?

Изменено 15 октября, 2017 пользователем odanilov

[thyrex]

Скрипт нужно выполнять на компьютере, логи с которого присылали в первом сообщении.

 

А вообще логи изначально нужно было собирать на компьютере, ставшем источником шифрования.

[odanilov]

Абсолютно согласен, но что делать если мы не можем установить компьютер-источник шифрования?

Первые тхт  файлы требованиями, которые я обнаружил, датированы 1:30 14-го числа(ночь с пятницы на субботу), возможно всё началось ещё раньше.

логи были собраны на 2008r2 server системе, есть несколько (минмум 4)компьютеров, которые не грузятся вообще (зашифрован даже раб. стол), источником может быть как любой из них, так и не один из них.

[thyrex]

Первые тхт  файлы требованиями, которые я обнаружил, датированы 1:30 14-го числа(ночь с пятницы на субботу), возможно всё началось ещё раньше.

Вот там, где они обнаружены, скорее всего и есть источник шифрования. Ибо файлы с сообщением о выкупе появляются по ходу шифрования. И поскольку шифрование началось ночью - меняйте пароль от RDP, который сбрутили и зашли на компьютер. Логи сервера стоит тоже посмотреть на предмет несанкционированного входа (если они не были подчищены).

 

Расшифровка есть, но ее получите только после очистки системы.

[odanilov]

Сервер без подключения к сети стоит, я выполнил Ваши инструкции.

уточню  -при выполнении скрипта появилось стандартное окно - применение параметров компьютера и предложение нажать ctrl+alt+del  , я зашел и после этого ребутнул, как и было указано в инструкции.

После этого я собрал новые логи, присоединяю их.

рдп пробросы убраны, пароли админов поменяны на сгенерированный безопасный пароль.

Жду дальнейших инструкций и огромное спасибо за оперативные ответы, честно говоря я очень приятно удивлен.

CollectionLog-2017.10.15-12.24.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[odanilov]

Прикрепляю отчет Frst

Уточню, что сейчас к данному компьютеру не подсоединена сеть (мало ли это важно для дальнейших действий)

Desktop.7z

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
C:\Users\korolev\AppData\Local\Temp\~DF09405FCB6ECCE1F2.TMP
C:\Users\korolev\AppData\Local\Temp\~DF0DB0AEBE28C1FF1E.TMP
C:\Users\korolev\AppData\Local\Temp\~DF196945645AEDF978.TMP
C:\Users\korolev\AppData\Local\Temp\~DF19A50D052EA01E92.TMP
C:\Users\korolev\AppData\Local\Temp\~DF1A93B4A54097460A.TMP
C:\Users\korolev\AppData\Local\Temp\~DF2ACE88F329D50266.TMP
C:\Users\korolev\AppData\Local\Temp\~DF2D15447AB95A9B88.TMP
C:\Users\korolev\AppData\Local\Temp\~DF2D52B0D14C91C3B6.TMP
C:\Users\korolev\AppData\Local\Temp\~DF2E1B5BD6F0B083C0.TMP
C:\Users\korolev\AppData\Local\Temp\~DF323E2897259FB164.TMP
C:\Users\korolev\AppData\Local\Temp\~DF57826FE56AF72908.TMP
C:\Users\korolev\AppData\Local\Temp\~DF67FF4CE58AE26FE8.TMP
C:\Users\korolev\AppData\Local\Temp\~DF6A3B727B82E09EB9.TMP
C:\Users\korolev\AppData\Local\Temp\~DF6C653E81757D6AEF.TMP
C:\Users\korolev\AppData\Local\Temp\~DF71C37AB4D9B8C9FE.TMP
C:\Users\korolev\AppData\Local\Temp\~DF8366FEA457FF2BB0.TMP
C:\Users\korolev\AppData\Local\Temp\~DF9699C7A7A1802ED2.TMP
C:\Users\korolev\AppData\Local\Temp\~DF9A06076E512E2405.TMP
C:\Users\korolev\AppData\Local\Temp\~DF9C739DF90514F570.TMP
C:\Users\korolev\AppData\Local\Temp\~DF9D661D7930C5527A.TMP
C:\Users\korolev\AppData\Local\Temp\~DFAF740D6B4DA6B696.TMP
C:\Users\korolev\AppData\Local\Temp\~DFB18A433914CB3CE8.TMP
C:\Users\korolev\AppData\Local\Temp\~DFB6AFF7784A36FB49.TMP
C:\Users\korolev\AppData\Local\Temp\~DFBCBB2A861A6A820B.TMP
C:\Users\korolev\AppData\Local\Temp\~DFC13838D588D8496E.TMP
C:\Users\korolev\AppData\Local\Temp\~DFC8A7C99B3277B718.TMP
C:\Users\korolev\AppData\Local\Temp\~DFCCC4CC79593556EE.TMP
C:\Users\korolev\AppData\Local\Temp\~DFCD4063744D209D13.TMP
C:\Users\korolev\AppData\Local\Temp\~DFCFFA024CA1273A1B.TMP
C:\Users\korolev\AppData\Local\Temp\~DFD03146A39765F384.TMP
C:\Users\korolev\AppData\Local\Temp\~DFD8A091B2DC640F4D.TMP
C:\Users\korolev\AppData\Local\Temp\~DFD9D1B3BB9ADCE586.TMP
C:\Users\korolev\AppData\Local\Temp\~DFE3174F8A5D698DD1.TMP
C:\Users\korolev\AppData\Local\Temp\~DFE404375539311120.TMP
C:\Users\korolev\AppData\Local\Temp\~DFE9B804D0FBD368C1.TMP
C:\Users\korolev\AppData\Local\Temp\~DFFAC3E8F789350196.TMP

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Перезагрузку компьютера выполните вручную.

[odanilov]

прикрепляю fixlog.txt

Fixlog.txt

[thyrex]

Все файлы с сообщением вымогателей удалите вручную.

 

Проверьте ЛС.

[odanilov]

огромное спасибо! дешифровка идет, как завершу(очень большой объем), напишу отчет и пару предостережений для других пользователей,

возможно мой опыт кому-то поможет.

[odanilov]

И так, обещаный отчет, или как это назвать =)

 

Пятница 13-е не прошла для нас бесследно, после 22 часов был хакнут рдп через существующий проброс, после чего пошло заражение по шарам. 

Мы обнаружили заражение только  в субботу вечером, выехали и начали пытаться что-то делать.

По сути сбора информации и т.д. здесь можно и так прочесть, хочу только написать выводы, возможно это кому-то поможет.

 

1. Если вы думаете что эта проблема вас кайф, то возможно вы жестоко ошибаетесь. И чем дельше тем более жестоко вы можете ошибиться.

 

2. Нет 100% защищенных систем, антивирус не панацея, бекап, если он онлайн(доступен по сети) - тоже не панацея, вы можете думать, что у меня же патчи, закрыты порты, есть бекап и антивирус, но это не спасает, как показала практика.

 

3. Нужен оффлайн бекап, нужна система обнаружения вторжений, управляемая сеть с устройством на входе и в центре сети, которые будут помогать предотвратить распространению/проникновению подобных угроз.

 

4. Конечно же, самое опасное-человеческий фактор. Простые пароли, которые не меняются, скаченый скрипт с знакомого е-меила, который подменили и т.д. Нужно вводить систему отключающую учетки после неудачного введения пароля, скажем, после 5 попыток, что поможет от брутфорса, поддерживать политику смены паролей. Да, это прибавляет работы и вопросов пользователей, но выбор-то какой? =) Потерять всё?

 

5.Если это всё-таки случилось, всё-таки есть шанс расшифровать данные. Но это вопрос уже везения.

 

Как попытаться что-то сделать? Это банально, но да, ставить заплатки, делать оффлайн-бекап, консультировать пользователей, вкладываться в ИТ, доносить до руководства необходимость этого.

 

Иначе можно остаться без всего. Наш бекап оказался зашифрован, как и сетевые диски, плюс несколько компьютеров.

В этот раз нам повезло, удалось расшифровать большинство файлов без потерь, у нас было 2 дня на эти работы и мы уложились.

 

А в следующий может не повезти. Полагаться на везение вообще не профессионально, нужно работать над системой, у нас есть свои сложности, опять же, возможно и у вас тоже есть проблемы с закупками, наймом людей, другими ресурсами.

Как-то надо попробовать оценить возможный убыток. Вводить отдел безопасности и т.д.  Да, это сложно в России.

 

Но чем дальше тем больше будет атак и тем изощреннее будут вымогатели, криптовалюта сейчас у всех на слуху.

 

Огромная благодарность товарищу с ником thyrex, который нам реально помог, хоть и, очевидно, не должен был. 

На этом закончу своё сумбурное выступление.