Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Файлы с разрешение .scarab, текстовый файл с запугивающим текстом

asarus
 Поделиться

Рекомендуемые сообщения

asarus

asarus

Опубликовано
Опубликовано

Здравствуйте!

 

Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.

 

Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).

 

На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.

 

1C на данным момент работает, видимых проблем пока не обнаружено.

 

Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).

 

Логи приложил.

 

Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?

 

На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.

 

Спасибо.

 

post-48231-0-87760600-1512227696_thumb.jpg

post-48231-0-58762600-1512227714_thumb.jpg

post-48231-0-29442700-1512227720_thumb.jpg

post-48231-0-09275400-1512227727_thumb.jpg

virusinfo_syscheck.zip

Инструкция по расшифровке.TXT

Настройка сертификата для 1C.doc.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Есть незашифрованный оригинал файла из первого сообщения?

 

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\hhsm\svhosts.exe');
 QuarantineFile('c:\windows\hhsm\svhosts.exe','');
 DeleteFile('c:\windows\hhsm\svhosts.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера выполните вручную.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
asarus

asarus

Опубликовано
  • Автор
Опубликовано

Незашифрованного оригинал файла из первого сообщения нет, но заархивировал и приложил файл с угрозами.

 

Скрипты выполнил.

 

Текст из ответа на письмо:

 

"

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=57834st=0p=854005

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

 

 

"

 

Новый лог во вложении.

зашифрованая угроза и не зашифрованная.zip

CollectionLog-2017.12.02-21.04.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

C:\Users\Admin\AppData\Roaming\sevnz.exe проверьте на virustotal.com и пришлите ссылку на результат анализа

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S2 AdobeFlashPlayerHash; C:\Windows\HhSm\svhosts.exe [X]
2017-12-01 01:28 - 2017-12-01 01:26 - 000193024 _____ C:\Users\Admin\AppData\Roaming\sevnz.exe
2017-12-01 01:27 - 2017-12-02 20:48 - 000000000 ____D C:\Windows\HhSm
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\Администратор\Инструкция по расшифровке.TXT
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\User8\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User7\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User7\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User6\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User5\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:26 - 2017-12-01 02:26 - 000003670 _____ C:\Users\User4\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:26 - 2017-12-01 02:26 - 000003670 _____ C:\Users\User4\Documents\Инструкция по расшифровке.TXT
2017-12-01 02:25 - 2017-12-01 02:25 - 000003670 _____ C:\Users\User4\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User2\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User1\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Service1\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Service1\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Admin\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Admin\Documents\Инструкция по расшифровке.TXT
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузка компьютера выполните вручную.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Найдите на диске С папку с карантином утилиты FRST, заархивируйте с паролем virus, выложите на dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения

Ссылка на комментарий
Поделиться на другие сайты
asarus

asarus

Опубликовано
  • Автор
Опубликовано

Найдите на диске С папку с карантином утилиты FRST, заархивируйте с паролем virus, выложите на dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения

отправил в ЛС

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Активного вируса нет уже. Дыру с RDP, через которую к Вам и попали, закрывайте, сменив пароль и стандартный порт.

Ссылка на комментарий
Поделиться на другие сайты
asarus

asarus

Опубликовано
  • Автор
Опубликовано

Большое спасибо за помощь!

 

Что делать с файлами, имеющими разрешение .scarab ? несут ли они какой-то вред? есть ли надежда их расшифровать (пострадало много файлов конфигураций и лицензий, бд )?

 

Имеется активная лицензия касп офис смал 5пк+сервер, стоит ли действительно ставить на сервер антивирусное ПО, что бы защититься от повторных подобных атак?

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Нашими силами расшифровка невозможна. Попробуйте обратиться в ТП через CompanyAccount

Зашифрованные файлы никакого вреда не несут.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • вася1525
      Уничтожает все текстовые и файлы и др.
      Автор вася1525
      Прошу помощь у спецов.Вирус переделал все тхт файлы и много чего другого.
      virusinfo_syscheck.zip
    • scaramuccia
      Обфускация текста
      Автор scaramuccia
      Всем привет!
      Попался мне файл autorun.inf, который Касперский детектирует как Net-Worm.Win32.Kido.ir. В сети есть его описание. Файл autorun.inf содержит обфусцированный текст, перемешивая мусор с "полезным" кодом, чтобы его скрыть.
      Но почему винда, обрабатывая этот текст, отбрасывает мусор? Не понимаю, всю голову сломал.
      Файл имеет сигнатуру FFFE, то есть говорит о том, что его текст в формате UTF-16 (LE). Но что мусор, что нужный текст вроде как имеют правильный формат. Как это происходит?

    • Андрей 1971
      Подмена букв при наборе текста
      Автор Андрей 1971
      Добрый вечер.
      При наборе текста в ворд, эксель, запросе в интернет происходит  автозамена буквы/цифры на сочетание букв. Суммарно по двум цифрам и четырем буквам. Пример:
      Вместо и - "0ыст ", вместо р - "жмюоб", вместо ш - "пл.ьв", вместо г - "нжщ"
      Замена цифры семь на "ех9дэ", восемь на "\6=0зъ"
       
      Dr.Web CureIt проблему не устранил.
      При открытии программы несколько знаков печатает как положено, потом опять подмена знаков.
       
      Похоже, дети, когда играли, скачали плагин. В Автозагрузке не выявил. Драйвер клавиатуры обновил."
       
      Если кто-то сталкивался, подскажите как исправить. Обязательно ли переустанавливать систему.
       
      С уважением, Андрей.
       
    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
×
×
  • Создать...