Файлы с разрешение .scarab, текстовый файл с запугивающим текстом

[asarus]

Здравствуйте!

 

Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.

 

Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).

 

На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.

 

1C на данным момент работает, видимых проблем пока не обнаружено.

 

Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).

 

Логи приложил.

 

Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?

 

На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.

 

Спасибо.

 

virusinfo_syscheck.zip

Инструкция по расшифровке.TXT

Настройка сертификата для 1C.doc.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[asarus]

Простите, случайно выбрал другой файл вместо логов.

CollectionLog-2017.12.02-19.54.zip

Изменено 2 декабря, 2017 пользователем asarus

[thyrex]

Есть незашифрованный оригинал файла из первого сообщения?

 

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\hhsm\svhosts.exe');
 QuarantineFile('c:\windows\hhsm\svhosts.exe','');
 DeleteFile('c:\windows\hhsm\svhosts.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера выполните вручную.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[asarus]

Незашифрованного оригинал файла из первого сообщения нет, но заархивировал и приложил файл с угрозами.

 

Скрипты выполнил.

 

Текст из ответа на письмо:

 

"

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=57834st=0p=854005

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

 

 

"

 

Новый лог во вложении.

зашифрованая угроза и не зашифрованная.zip

CollectionLog-2017.12.02-21.04.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[asarus]

отчеты Farbar Recovery Scan Tool готовы

отчеты farbar.zip

Изменено 2 декабря, 2017 пользователем asarus

[thyrex]

C:\Users\Admin\AppData\Roaming\sevnz.exe проверьте на virustotal.com и пришлите ссылку на результат анализа

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S2 AdobeFlashPlayerHash; C:\Windows\HhSm\svhosts.exe [X]
2017-12-01 01:28 - 2017-12-01 01:26 - 000193024 _____ C:\Users\Admin\AppData\Roaming\sevnz.exe
2017-12-01 01:27 - 2017-12-02 20:48 - 000000000 ____D C:\Windows\HhSm
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\Администратор\Инструкция по расшифровке.TXT
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:28 - 2017-12-01 02:28 - 000003670 _____ C:\Users\User8\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User7\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User7\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User6\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:27 - 2017-12-01 02:27 - 000003670 _____ C:\Users\User5\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:26 - 2017-12-01 02:26 - 000003670 _____ C:\Users\User4\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:26 - 2017-12-01 02:26 - 000003670 _____ C:\Users\User4\Documents\Инструкция по расшифровке.TXT
2017-12-01 02:25 - 2017-12-01 02:25 - 000003670 _____ C:\Users\User4\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User3\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User2\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:24 - 2017-12-01 02:24 - 000003670 _____ C:\Users\User1\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Service1\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Service1\Desktop\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Admin\Downloads\Инструкция по расшифровке.TXT
2017-12-01 02:23 - 2017-12-01 02:23 - 000003670 _____ C:\Users\Admin\Documents\Инструкция по расшифровке.TXT

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузка компьютера выполните вручную.

[asarus]

ссылка на результат анализа: https://www.virustotal.com/#/file/48b952ede471ed5c4a4f6548a6d30af0075b96a2fc5df0f78d6063a0b060b309/detection

fixlog

Fixlog.txt

[thyrex]

Найдите на диске С папку с карантином утилиты FRST, заархивируйте с паролем virus, выложите на dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения

[asarus]

Найдите на диске С папку с карантином утилиты FRST, заархивируйте с паролем virus, выложите на dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения

отправил в ЛС

[asarus]

Интересно, продолжается ли вирусная активность на данном пк или получилось остановить ее дальнейшее распространение?

[thyrex]

Активного вируса нет уже. Дыру с RDP, через которую к Вам и попали, закрывайте, сменив пароль и стандартный порт.

[asarus]

Большое спасибо за помощь!

 

Что делать с файлами, имеющими разрешение .scarab ? несут ли они какой-то вред? есть ли надежда их расшифровать (пострадало много файлов конфигураций и лицензий, бд )?

 

Имеется активная лицензия касп офис смал 5пк+сервер, стоит ли действительно ставить на сервер антивирусное ПО, что бы защититься от повторных подобных атак?

[thyrex]

Нашими силами расшифровка невозможна. Попробуйте обратиться в ТП через CompanyAccount

Зашифрованные файлы никакого вреда не несут.