Перейти к содержанию

На сервер проник шифровальщик scarab

felixusekb
 Share

Рекомендуемые сообщения

felixusekb Новичок

felixusekb

Опубликовано
Опубликовано

Доброго времени суток! Сегодня с утра возникла проблема, не запускается SQL, файлы зашифрованы .scarab, ну и соответственно текстовики с информацией о выкупе ключей. Подскажите что делать?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки нет. Для проверки и очистки возможного заражения и следов вымогателя выполните:

Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
felixusekb Новичок

felixusekb

Опубликовано
  • Автор
Опубликовано

В систему проник вирус и зашифровал файлы, дописал свое расширение .scarab и раскидал везде текстовые файлы с информацией, файл тоже прилагается, посадил работу SQL сервера и 1С. Файл логов прилагается. Проблема возникла сегодня с утра после перезагрузки сервера.

CollectionLog-2018.03.01-12.12.zip

Инструкция по расшифровке файлов.TXT

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Еще во втором сообщении темы было написано, что расшифровки нет.

 

Пароль от RDP, через который к Вам и попали ночью, смените.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-03-01 03:59 - 2018-03-01 03:59 - 000003869 _____ C:\Users\Администратор\Инструкция по расшифровке файлов.TXT.scarab
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Гость\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 07:57 - 2018-03-01 11:38 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Enigma Software Group
2018-03-01 07:57 - 2018-03-01 07:57 - 000003372 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2018-03-01] (Enigma Software Group USA, LLC.)
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • chernikovd
      Поймали шифровальщика на несколько серверов
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
×
×
  • Создать...