Вирус вымогатель cipher. Не шифровальщик.

[AceMan]

Компьютер работает круглосуточно, есть доступ по RDP  по стандартному порту с несложным паролем.

Статический ip. Windows 10 со всеми последними обновлениями.

С утра рабочий стол оказался пустым. На жестком диске куча текстовых файлов ReadMe!!!!.txt с таким содержимым:

"All information moved to the cloud
Regarding the recovery write recovery@post.com
Your id xxxxxxxxxxxx

In case of timely treatment, we guarantee a full refund."

 

Удалены все файлы с фото, офисные документы, архивы, базы 1С с архивами со всех дисков.

Удалены хорошо, как положено, восстановить не удалось. Также нет теневых копий. Все пусто.

Временно появился пользователь системы: Cipher. С утра комп был залогинен под ним. После перезагрузки система не видит этого пользователя, т.е. зайти под ним не предлагает.

 

Были сделаны все действия и собраны логи, как указано в шапке. Ни один антивирус ничего не нашел.

Далее была переписка со... с.... назовем их негодяи. Общались грамотно, по-русски. Запросили 25000р.

На частичное восстановление за меньшую сумму не согласились. Клиент, понимая риск, согласился на оплату.

Негодяям было предложено доказать, что они имеют нашу информацию. Они тут же подключились к нашему ПК, рабочий стол стал черным, система пишет, что залогинина под cipher, хотя процедуры перелогина не было. На рабочем столе появился текстовый файлик со всеми нашими паролями из браузеров. И папка с несколькими нашими документами. Нас это устроило.

Далее было предложено: из письма:

-------------------------------------------------------------------

"Все происходит по стандартной схеме. В случае вашего окончательного решения по восстановлению данных мы указываем Qiwi кошелек. Зачисление средств на последний доступно как через развитую инфраструктуру терминалов оплаты(без комисии) https://qiwi.com/replenish?terminalTypes[0]=QIWI , так и через интернет банкинг большинства росс. банков(комиссия). 

Восстановление данных долступно по двум вариантам:

1. Мы передаем вам полные регистрационные данные облачного аккуанта. Вам остается войти с переданными учетными данными в облако и инициировать процесс перемещения данных обратно в свои директории(скачать). На протяжении всего процесса перемещения мы онлайн и готовы ответить на любые вопросы. После полного размещения информации вы отправляете нам письмо завершении, мы закрываем сделку.

2. Мы сами запускаем процесс восстановления НО, ОБЯЗАТЕЛЬНО!! для этого ваш сервер(ПК) должен быть включен и иметь доступ к сети. Вы сможете наблюдать за всем процессом восстановления. После завершения вы меняете пароли на все учетные записи. 

Тах-же в обоих вариантах мы передаем вам текстовый мануал описывающий механизм нашей работы на вашем сервере, для предотвращения подобных инциндентов в дальнейшем.

Учитывая скорость вашего интернет соединения (в среднем 3.76Мб/с) в течении несколько часов вся информация займет свои первоначальные директории.

Из гарантий полной сохранности данных. На ваш выбор можете указать любую директорию, папку подвергшуюся перемещению. Мы предоставим содержимое последней."

-------------------------------------------------------------------

Был выслан киви-кошелек.

После факта, негодяи не выходят на связь. Данные так и не восстановлены.

Будьте аккуратны.

 

Интересует, что сделать, чтобы обезопасить себя от их "внимания"? Как они залезли?

 

 

CollectionLog-2018.04.24-09.22.zip

[Sandor]

Здравствуйте!

 

Как они залезли?

Вы же сами пишете:

есть доступ по RDP  по стандартному порту с несложным паролем

Это и есть уязвимость. А также отсутствие какого либо антивируса.

 

В логах - ничего плохого (вирусоподобного).

Для проверки других возможных уязвимостей:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.