Перейти к содержанию
Важная информация для бета-тестеров

scarabey зашифровал данные на сервере

SergeyS
 Share

Рекомендуемые сообщения

SergeyS Новичок

SergeyS

Опубликовано
Опубликовано
Добрый день, шифровальшик зашифровал файлы на сервере, KVRT обнаружил и вылечил вирус. После этого был запущен AutoLogger. 

 

Проблема началась на рабочем столе бухгалтера, не за долго до этого говорила, что на рабочем столе появился ярлык Opera, хотя он не был установлен.

Образцы файлов.zip

report_20180226_131206.klr.rar

CollectionLog-2018.02.27-10.41.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Расшифровки для этого типа вымогателя нет.

 

Для очистки возможных следов:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2018-02-23 05:20 - 2018-02-23 05:20 - 000003869 _____ C:\Users\Buh1\Desktop\Инструкция по расшифровке файлов.TXT.scarab
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Downloads\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Documents\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Desktop\Инструкция по расшифровке файлов.TXT
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

компьютер не перезагружался

И не должен.

Скачайте вложенный файл и поместите его рядом с утилитой FRST64.exe, запустите и нажмите Fix.

Итоговый fixlog.txt покажите.

fixlist.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
SergeyS Новичок

SergeyS

Опубликовано
  • Автор
Опубликовано

Скрипт выполнил, две уязвимости устранил, повторный скрипт уязвимостей не выявил. Получается сервер очищен?


А по этим логам можно понять как и когда попал вирус и как от этого обезопаситься?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

как и когда попал вирус

Когда попал видно по дате:

2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT

А как? Не исключено, что через уже закрытые уязвимости.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • foroven
      Шифровальщик ooo4ps зашифровал сервер.
      От foroven
      Добрый день. Столкнулись с шифровальщиком. Заражение по-видимому произошло ещё в субботу 22.02.2025 около 19 часов вечера. Зашифрованы документы и базы. 
      Mega.7z
    • Valeriy_Chirchik
      Зашифровали файлы на сервере *.red
      От Valeriy_Chirchik
      В понедельник, 17.02.2025, все файлы на сервере зашифрованы.
      Прилагаю файлы сканирования и требование оплаты дешифрования...
      Очень надеюсь на Вашу помощь!!!
      Спасибо!!!Virus.rarFRST.txtAddition.txt
    • AntOgs
      Шифровальщик проник на сервера(2шт) с RDP, зашифровал все данные. Расширение .innok
      От AntOgs
      Добрый день! Помогите расшифровать данные.
      Шифровальщик вымогатель с расширением .innok  проник на сервера с RDP на windows server 2016 и 2012
      Зашифровал множестово (1с Базы, документы, картинки...) данных в том числе на всех сетевых дисках в локальной сети.
      После шифрования почистил журнал событий, отключилась функция VSS восстановления. Файл вируса не обнаружил. 
      Буду благодарен за любую помощь в расшифровке.
      Зашифрованные документы и файл с требованиями.rar логи FRST WS2012.rar логи FRST WS2016.rar
    • Сергей рнд
      скачал и открыл файл, зашифровались данные
      От Сергей рнд
      Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txtFRST.txtAddition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,
      максим.rar
    • Инфлюенсер
      Данные зашифрованные с помощью diskCriptor
      От Инфлюенсер
      Добрый день, произошел взлом системы. Пострадали пк и сервера, злоумышленник зашифровал данные. Так же попросил выкуп. для теста дал пароль от одного из дисков с помощью которого удалось расшифровать диск с которого собраны логи по запросу, в данный момент диски заблокированы. Требуется ли с помощью программы R.Saver   попытаться вытащить какиет-о файлы, так как в настоящий момент  диски являются роу
      Addition.txtFRST.txt
×
×
  • Создать...