Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

На сервер проник шифровальщик scarab

felixusekb
 Поделиться

Рекомендуемые сообщения

felixusekb Новичок

felixusekb

Опубликовано
Опубликовано

Доброго времени суток! Сегодня с утра возникла проблема, не запускается SQL, файлы зашифрованы .scarab, ну и соответственно текстовики с информацией о выкупе ключей. Подскажите что делать?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки нет. Для проверки и очистки возможного заражения и следов вымогателя выполните:

Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
felixusekb Новичок

felixusekb

Опубликовано
  • Автор
Опубликовано

В систему проник вирус и зашифровал файлы, дописал свое расширение .scarab и раскидал везде текстовые файлы с информацией, файл тоже прилагается, посадил работу SQL сервера и 1С. Файл логов прилагается. Проблема возникла сегодня с утра после перезагрузки сервера.

CollectionLog-2018.03.01-12.12.zip

Инструкция по расшифровке файлов.TXT

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Еще во втором сообщении темы было написано, что расшифровки нет.

 

Пароль от RDP, через который к Вам и попали ночью, смените.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-03-01 03:59 - 2018-03-01 03:59 - 000003869 _____ C:\Users\Администратор\Инструкция по расшифровке файлов.TXT.scarab
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Гость\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 07:57 - 2018-03-01 11:38 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Enigma Software Group
2018-03-01 07:57 - 2018-03-01 07:57 - 000003372 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2018-03-01] (Enigma Software Group USA, LLC.)
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • Petr02
      Проник в систему и зашифровал файловый архив.
      Автор Petr02
      Здравствуйте!

      Пошу помощи. Проник в систему и зашифровал файловый архив. Предположительно, остался сессионный ключ, т.к комп был выключен принудительно до завершения работы вируса, и больше не включался. Если есть возможность помочь, напишите пожалуйста что от меня требуется.

      Заранее спасибо. 
      txt_session_tmp.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • Pristan
      Шифровальщик зашифровал сервера Window Server
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
    • AntOgs
      Шифровальщик проник на сервера(2шт) с RDP, зашифровал все данные. Расширение .innok
      Автор AntOgs
      Добрый день! Помогите расшифровать данные.
      Шифровальщик вымогатель с расширением .innok  проник на сервера с RDP на windows server 2016 и 2012
      Зашифровал множестово (1с Базы, документы, картинки...) данных в том числе на всех сетевых дисках в локальной сети.
      После шифрования почистил журнал событий, отключилась функция VSS восстановления. Файл вируса не обнаружил. 
      Буду благодарен за любую помощь в расшифровке.
      Зашифрованные документы и файл с требованиями.rar логи FRST WS2012.rar логи FRST WS2016.rar
×
×
  • Создать...