scarabey зашифровал данные на сервере

[SergeyS]

Добрый день, шифровальшик зашифровал файлы на сервере, KVRT обнаружил и вылечил вирус. После этого был запущен AutoLogger. 

 

Проблема началась на рабочем столе бухгалтера, не за долго до этого говорила, что на рабочем столе появился ярлык Opera, хотя он не был установлен.

Образцы файлов.zip

report_20180226_131206.klr.rar

CollectionLog-2018.02.27-10.41.zip

[Sandor]

Здравствуйте!

 

Расшифровки для этого типа вымогателя нет.

 

Для очистки возможных следов:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 27 февраля, 2018 пользователем Sandor

[SergeyS]

Готово

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2018-02-23 05:20 - 2018-02-23 05:20 - 000003869 _____ C:\Users\Buh1\Desktop\Инструкция по расшифровке файлов.TXT.scarab
  2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
  2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
  2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
  2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Инструкция по расшифровке файлов.TXT
  2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Downloads\Инструкция по расшифровке файлов.TXT
  2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Documents\Инструкция по расшифровке файлов.TXT
  2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Desktop\Инструкция по расшифровке файлов.TXT
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[SergeyS]

Сделал, компьютер не перезагружался

Fixlog.txt

[Sandor]

компьютер не перезагружался

И не должен.

Скачайте вложенный файл и поместите его рядом с утилитой FRST64.exe, запустите и нажмите Fix.

Итоговый fixlog.txt покажите.

fixlist.txt

[SergeyS]

Не могу скачать... "У вас не достаточно прав для загрузки данного прикрепленного файла."

[Sandor]

Да, я забыл

Отправил через ЛС.

[SergeyS]

Готово

Fixlog.txt

[Sandor]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[SergeyS]

Скрипт выполнил, две уязвимости устранил, повторный скрипт уязвимостей не выявил. Получается сервер очищен?

А по этим логам можно понять как и когда попал вирус и как от этого обезопаситься?

[Sandor]

как и когда попал вирус

Когда попал видно по дате:

2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT

А как? Не исключено, что через уже закрытые уязвимости.