Шифровальщик zeman@tutanota.de также атака 29.05.18

[Дмитрий_Ц]

Был атакован сервер windows 2008 c работающим kaspersky endpoint security 8.0 с почасовым обновлением  через RDP (порт не стандартный) под обычным пользователем "бухгалтер" со слабым паролем,  С 5 утра он шифровал до 9:20 29.05.18 когда был обнаружен. RDP сеанс был тут же убит. Он зашифровал часть того что было доступно простому пользователю. Но каким  то образом  с обычными привилегиями удалил  теневые копии. Позже антивирус заметил его и внес в карантин. Прилагаю логи, скриншот карантина, архив созданной вирусом папки c:\1  (без файла который попал в карантин касперского) , пример зашифрованных файлов с файлом требования из одного каталога. Файлов требования очень много в каждом каталоге, даже в тех где вирусу не удалось зашифровать из за отсутствия привилегий. 

CollectionLog-2018.06.02-00.18.zip

1.zip

zeman@tutanota.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Дмитрий_Ц]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

Addition.zip

[thyrex]

Ожидайте.

 

=========

 

Проверьте ЛС

[Дмитрий_Ц]

УРА!!!!!!!

Процесс расшифровки начался по каталогам! !!!!

Successfully decrypted 29600 files!

Successfully decrypted 25881 files!

Successfully decrypted 936 files!

....

Вы Гений!!! СПАСИБО!!!!!!!!!!!!!!!!!!!!

[thyrex]

Спасибо нужно говорить https://twitter.com/demonslay335

 

Окончательный результат расшифровки сообщите после завершения.

[Дмитрий_Ц]

Все расшифровано!   Спасибо!!!

[thyrex]

Сообщения от вымогателей удалите вручную.

 

+ Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Дмитрий_Ц]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 14.06.2018 09:29:36

Path starting: E:\Temp\administrator\2\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: administrator

VersionXML: 5.12is-07.06.2018

___________________________________________________________________________

 

Windows 2008(6.0.6002) Service Pack 2 (x64) ServerStandard Lang: Russian(0419)

Дата установки ОС: 03.03.2012 10:03:11

Статус лицензии: Windows Server®, ServerStandard edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Internet Explorer\iexplore.exe

Системный диск: C: ФС: [NTFS] Емкость: [83.8 Гб] Занято: [73.1 Гб] Свободно: [10.7 Гб]

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Антивирус Касперского 8.0 для Windows Servers Enterprise Edition v.8.0.0.559

Средства администрирования Антивируса Касперского 8.0 для Windows Servers Enterprise Edition v.8.0.0.559

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR archiver

------------------------------- [ Browser ] -------------------------------

Google Chrome v.49.0.2623.112 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Users\administrator\AppData\Local\Google\Chrome\Application\chrome.exe v.49.0.2623.112

----------------------------- [ End of Log ] ------------------------------

Насчет Chrome, Он не обновляется т. к. это Windows 2008 Server, купленный официально. Докупать обновление до Server 2012 или 2016  руководство не желает.   

[thyrex]

Тогда на этом закончим