Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

На сервер проник шифровальщик scarab

felixusekb
 Поделиться

Рекомендуемые сообщения

felixusekb

felixusekb

Опубликовано
Опубликовано

Доброго времени суток! Сегодня с утра возникла проблема, не запускается SQL, файлы зашифрованы .scarab, ну и соответственно текстовики с информацией о выкупе ключей. Подскажите что делать?

felixusekb

felixusekb

Опубликовано
  • Автор
Опубликовано

В систему проник вирус и зашифровал файлы, дописал свое расширение .scarab и раскидал везде текстовые файлы с информацией, файл тоже прилагается, посадил работу SQL сервера и 1С. Файл логов прилагается. Проблема возникла сегодня с утра после перезагрузки сервера.

CollectionLog-2018.03.01-12.12.zip

Инструкция по расшифровке файлов.TXT

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

felixusekb

felixusekb

Опубликовано
  • Автор
Опубликовано

Доброе утро! Скажите, есть шансы, что файлы можно будет расшифровать?

thyrex

thyrex

Опубликовано
Опубликовано

Еще во втором сообщении темы было написано, что расшифровки нет.

 

Пароль от RDP, через который к Вам и попали ночью, смените.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-03-01 03:59 - 2018-03-01 03:59 - 000003869 _____ C:\Users\Администратор\Инструкция по расшифровке файлов.TXT.scarab
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Гость\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\HR\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\auditor\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Downloads\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Documents\Инструкция по расшифровке файлов.TXT
2018-03-01 03:59 - 2018-03-01 03:59 - 000003682 _____ C:\Users\adm_net\Desktop\Инструкция по расшифровке файлов.TXT
2018-03-01 07:57 - 2018-03-01 11:38 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Enigma Software Group
2018-03-01 07:57 - 2018-03-01 07:57 - 000003372 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2018-03-01] (Enigma Software Group USA, LLC.)
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kazak89
      Шифровальщик *.scarab
      Автор kazak89
      Добрый день!
      Прошу прощения, но тот же компьютер снова зашифровали
       
      Прошу помощи
       
       
      CollectionLog-2017.12.13-20.00.zip
      Инструкция по расшифровке.TXT
    • asarus
      Файлы с разрешение .scarab, текстовый файл с запугивающим текстом
      Автор asarus
      Здравствуйте!
       
      Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.
       
      Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).
       
      На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.
       
      1C на данным момент работает, видимых проблем пока не обнаружено.
       
      Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).
       
      Логи приложил.
       
      Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?
       
      На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.
       
      Спасибо.
       




      virusinfo_syscheck.zip
      Инструкция по расшифровке.TXT
      Настройка сертификата для 1C.doc.zip
    • Leoni_d
      Файлы зашифрованы, помогите почистить от мусора
      Автор Leoni_d
      День добрый,
       
      зашифровались файлы , понимаю что вернуть бесполезно , но хотелось ты избавится от заразы
       
    • kirill2323
      .scarab vol. 2
      Автор kirill2323
      День добрый.
      В продолжение https://forum.kasperskyclub.ru/index.php?showtopic=57739
      Нашел таки я компьютер зараженный. Тему перенесенную в беседку удалите пожалуйста.
      Вобщем .scarab зашифровал раб стол и документы полностью. Проверил куреит'ом. 8 файлов обезврежено.
       
       
      CollectionLog-2017.11.24-10.22.zip
    • Pavel Seregin
      Словили шифровальщик scarab
      Автор Pavel Seregin
      Здравствуйте, поймали вирус-шифровальщик, зашифровал машину примерно 80%, но человек выключил пк резко из розетки, удалось поймать несколько файлов а именно файл который привел к заражению, так же файл который по предположению шифровал файлы, лог собранный программой прилагаю

      Добавляю файлы от программы  Farbar Recovery Scan Tool
      CollectionLog-2017.11.23-19.11.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...