Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

scarabey зашифровал данные на сервере

SergeyS
 Поделиться

Рекомендуемые сообщения

SergeyS

SergeyS

Опубликовано
Опубликовано
Добрый день, шифровальшик зашифровал файлы на сервере, KVRT обнаружил и вылечил вирус. После этого был запущен AutoLogger. 

 

Проблема началась на рабочем столе бухгалтера, не за долго до этого говорила, что на рабочем столе появился ярлык Opera, хотя он не был установлен.

Образцы файлов.zip

report_20180226_131206.klr.rar

CollectionLog-2018.02.27-10.41.zip

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Расшифровки для этого типа вымогателя нет.

 

Для очистки возможных следов:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2018-02-23 05:20 - 2018-02-23 05:20 - 000003869 _____ C:\Users\Buh1\Desktop\Инструкция по расшифровке файлов.TXT.scarab
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Downloads\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Documents\Инструкция по расшифровке файлов.TXT
2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Desktop\Инструкция по расшифровке файлов.TXT
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Sandor

Sandor

Опубликовано
Опубликовано

компьютер не перезагружался

И не должен.

Скачайте вложенный файл и поместите его рядом с утилитой FRST64.exe, запустите и нажмите Fix.

Итоговый fixlog.txt покажите.

fixlist.txt

SergeyS

SergeyS

Опубликовано
  • Автор
Опубликовано

Не могу скачать... "У вас не достаточно прав для загрузки данного прикрепленного файла."

Sandor

Sandor

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

SergeyS

SergeyS

Опубликовано
  • Автор
Опубликовано

Скрипт выполнил, две уязвимости устранил, повторный скрипт уязвимостей не выявил. Получается сервер очищен?


А по этим логам можно понять как и когда попал вирус и как от этого обезопаситься?

Sandor

Sandor

Опубликовано
Опубликовано

как и когда попал вирус

Когда попал видно по дате:

2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT

А как? Не исключено, что через уже закрытые уязвимости.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kazak89
      Шифровальщик *.scarab
      Автор kazak89
      Добрый день!
      Прошу прощения, но тот же компьютер снова зашифровали
       
      Прошу помощи
       
       
      CollectionLog-2017.12.13-20.00.zip
      Инструкция по расшифровке.TXT
    • asarus
      Файлы с разрешение .scarab, текстовый файл с запугивающим текстом
      Автор asarus
      Здравствуйте!
       
      Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.
       
      Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).
       
      На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.
       
      1C на данным момент работает, видимых проблем пока не обнаружено.
       
      Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).
       
      Логи приложил.
       
      Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?
       
      На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.
       
      Спасибо.
       




      virusinfo_syscheck.zip
      Инструкция по расшифровке.TXT
      Настройка сертификата для 1C.doc.zip
    • Leoni_d
      Файлы зашифрованы, помогите почистить от мусора
      Автор Leoni_d
      День добрый,
       
      зашифровались файлы , понимаю что вернуть бесполезно , но хотелось ты избавится от заразы
       
    • kirill2323
      .scarab vol. 2
      Автор kirill2323
      День добрый.
      В продолжение https://forum.kasperskyclub.ru/index.php?showtopic=57739
      Нашел таки я компьютер зараженный. Тему перенесенную в беседку удалите пожалуйста.
      Вобщем .scarab зашифровал раб стол и документы полностью. Проверил куреит'ом. 8 файлов обезврежено.
       
       
      CollectionLog-2017.11.24-10.22.zip
    • Pavel Seregin
      Словили шифровальщик scarab
      Автор Pavel Seregin
      Здравствуйте, поймали вирус-шифровальщик, зашифровал машину примерно 80%, но человек выключил пк резко из розетки, удалось поймать несколько файлов а именно файл который привел к заражению, так же файл который по предположению шифровал файлы, лог собранный программой прилагаю

      Добавляю файлы от программы  Farbar Recovery Scan Tool
      CollectionLog-2017.11.23-19.11.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...