Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

write your country and server IP to tapok@tuta.io

theo127
 Поделиться

Рекомендуемые сообщения

theo127

theo127

Опубликовано
Опубликовано

Зашифровали сервер 2008

Сервер - не мой. Просьба - тапками не бросать!

theo127

theo127

Опубликовано
  • Автор
Опубликовано

Autologger запускал. К теме прикреплял лог в архиве. Почему в теме не вижу - не знаю...

thyrex

thyrex

Опубликовано
Опубликовано

Кнопку Загрузить забыли нажать, видимо

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\Users\masha\AppData\Local\Temp\3\CQZHRAIRZH.exe','');

 QuarantineFile('C:\ProgramData\WindowsTask\csrss.vbs','');

 QuarantineFile('C:\Program Files\Common Files\consvc\service\consvc.exe','');

 DeleteFile('C:\ProgramData\WindowsTask\csrss.vbs','64');

 DeleteFile('C:\Users\masha\AppData\Local\Temp\3\CQZHRAIRZH.exe','32');

 RegKeyParamDel('HKEY_USERS','S-1-5-21-762788621-895316881-56356593-1015\Software\Microsoft\Windows\CurrentVersion\Run','1216087668');

ExecuteSysClean;

end.


 


 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

theo127

theo127

Опубликовано
  • Автор
Опубликовано

Правильно ли я понимаю, что "волшебный" exe-шник был запущен из под профиля пользователя masha?

mike 1

mike 1

Опубликовано
Опубликовано

В любом случае злоумышленник к Вам удаленно заходил по RDP, а под какой учетной записью он работал это сейчас не так важно, т.к. пароли нужно менять от всех учетных записей в качестве превентивной меры. Имеет смысл еще настроить VPN, т.е. чтобы к серверу можно было подключиться только через VPN.  

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
theo127

theo127

Опубликовано
  • Автор
Опубликовано

Спасибо. Просто именно для этой учетной записи и был поднят openvpn сервер. Остальные работали из офиса.

Теперь и опенвпн сервер переставлять нужно, т.к. он тоже скомпромитирован.


Результаты скана

Addition.txt

FRST.txt

mike 1

mike 1

Опубликовано
Опубликовано

 

2018-08-24 16:59 - 2018-07-15 16:10 - 000134656 _____ C:\Users\masha\Downloads\my.exe

2018-08-24 16:59 - 2018-08-24 16:59 - 000134656 _____ () C:\Users\masha\AppData\Local\Temp\HSAHRZGNVD.exe

Эти файлы упакуйте в архив. Содержимое архива прикрепите к запросу https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

 

Kaspersky Small Office Security (HKLM-x32\...\InstallWIX_{33F9240D-1887-4FF9-8A6E-35F32A05A277}) (Version: 15.0.2.396 - Лаборатория Касперского)

Версия устаревшая. Актуальная 19.0.0.1088

theo127

theo127

Опубликовано
  • Автор
Опубликовано

 

 

2018-08-24 16:59 - 2018-07-15 16:10 - 000134656 _____ C:\Users\masha\Downloads\my.exe

2018-08-24 16:59 - 2018-08-24 16:59 - 000134656 _____ () C:\Users\masha\AppData\Local\Temp\HSAHRZGNVD.exe

Эти файлы упакуйте в архив. Содержимое архива прикрепите к запросу https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

 

Kaspersky Small Office Security (HKLM-x32\...\InstallWIX_{33F9240D-1887-4FF9-8A6E-35F32A05A277}) (Version: 15.0.2.396 - Лаборатория Касперского)

Версия устаревшая. Актуальная 19.0.0.1088

 

К сожалению доступна для скачивания с сайта только 17-я...

theo127

theo127

Опубликовано
  • Автор
Опубликовано

Русской версии действительно пока нет, но есть английская версия https://products.s.kaspersky-labs.com/smallofficesecurity/ksos2019/19.0.0.1088a/ . В ближайшее время выложат, т.к. релиз 19 версии уже был. 

Шифровальщики выслали утилиту для сбора данных перед расшифровкой.

Могу прислать...

mike 1

mike 1

Опубликовано
Опубликовано

Она нам не поможет, файл data.ini, которая эта утилита генерирует накрыт публичным RSA ключом большой длины. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • anton4ik
      Зашифрованы файлы
      Автор anton4ik
      Вчера, судя по всему подключившись по RDP, скопировали файл и запустили шифровальщик.
      Сегодня утром на рабочем столе был обнаружен запущенный файл vis.exe. Антивирус отключили, поковырялись с учетными записями...
       
      Файлы теперь имеют имена типа email-tatarian@india.com.ver-CL 1.3.1.0.id-@@@@@4684-E4C6.randomname-ZBCDEEFGGHIIIJKKLMNNNOPPQRRRST.UVV.xxy
       
      Есть файл шифровальщика. И вроде как один файл оригинала зашифрованного файла (определил по размеру, ко всем файлам добавилось ~30-32 кб)
      CollectionLog-2016.12.15-15.08.zip

    • Liberte
      Шифровальщик tatarian@india.com.ver-CL 1.3.1.0.id
      Автор Liberte
      Поймал шифровальщика. шифрует документы и базы 1c (1cd) 
      имена файлов примерно такие: email-tatarian@india.com.ver-CL 1.3.1.0.id-RTVYCEGJLNQSUWZBDFIKNORTWYACFHJLOQTU-09.12.2016 23@55@056371906@@@@@168B-F26F.randomname-NPSUYADFIKNORTWYBCFHKLOQTVXZCE.HKL.ppr (расширения файлов разные ) сам вирус отыскать не удалось, похоже, что имели удаленный доступ к ПК и почистили следы за собой. (антивирус endpoint 10)
      Cureit тоже ничего не нашел.
      файл readme содержит:
      ATTENTION! Your computer was attacked by trojan called cryptolocker. All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible. To get your unique key and decode your files, you need to write us at email written below during 72 hours,  otherwise your files will be destroyed forever! tatarian@india.com tatarian@india.com   Теневых копий нету.
      Лог прикрепляю, а также файлы зашифрованный и оригинальный.
      Есть ли способ восстановить.
      файлы в архиве files, пароль: files
      files.rar
      CollectionLog-2016.12.13-12.58.zip
      Addition.txt
      FRST.txt
    • яДмитрий
      расшифровка
      Автор яДмитрий
      прошёл год может изменилась ситуация 
      заражение было после открытия письма и на тот момент стоял антивирус аваст 
      прикрепляю логи
      CollectionLog-2016.12.09-22.37.zip
    • Евгений Матвеев
      Шифровальщик
      Автор Евгений Матвеев
      Помогите с расшифровкой данных, готов предоставить дополнительную информацию.
      CollectionLog-2016.12.08-01.25.zip
    • Marshall_J
      Зашифровались данные
      Автор Marshall_J
      Здравствуйте. зашифровались данные. в файликах пишется "to decrypt files write to this mail vpupkin3@aol.com"
       
       
       
      CollectionLog-2016.12.05-16.28.zip

×
×
  • Создать...