Перейти к содержанию

scarabey зашифровал данные на сервере


Рекомендуемые сообщения

Добрый день, шифровальшик зашифровал файлы на сервере, KVRT обнаружил и вылечил вирус. После этого был запущен AutoLogger. 

 

Проблема началась на рабочем столе бухгалтера, не за долго до этого говорила, что на рабочем столе появился ярлык Opera, хотя он не был установлен.

Образцы файлов.zip

report_20180226_131206.klr.rar

CollectionLog-2018.02.27-10.41.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки для этого типа вымогателя нет.

 

Для очистки возможных следов:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    2018-02-23 05:20 - 2018-02-23 05:20 - 000003869 _____ C:\Users\Buh1\Desktop\Инструкция по расшифровке файлов.TXT.scarab
    2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
    2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
    2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
    2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Инструкция по расшифровке файлов.TXT
    2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Downloads\Инструкция по расшифровке файлов.TXT
    2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Documents\Инструкция по расшифровке файлов.TXT
    2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Buh1\Desktop\Инструкция по расшифровке файлов.TXT
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

компьютер не перезагружался

И не должен.

Скачайте вложенный файл и поместите его рядом с утилитой FRST64.exe, запустите и нажмите Fix.

Итоговый fixlog.txt покажите.

fixlist.txt

Ссылка на комментарий
Поделиться на другие сайты

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Скрипт выполнил, две уязвимости устранил, повторный скрипт уязвимостей не выявил. Получается сервер очищен?


А по этим логам можно понять как и когда попал вирус и как от этого обезопаситься?

Ссылка на комментарий
Поделиться на другие сайты

как и когда попал вирус

Когда попал видно по дате:

2018-02-23 05:20 - 2018-02-23 05:20 - 000003686 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT

А как? Не исключено, что через уже закрытые уязвимости.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • sduganov
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • AYu
      От AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
×
×
  • Создать...