it4 Опубликовано 23 октября, 2018 Опубликовано 23 октября, 2018 (изменено) Отправлено 20 Август 2018 - 06:37 Добрый день. На NetGear подняты Общие ресурсы на Томе RAID. 22.10.2018 все файлы в папках приняли зашифрованный вид. Зашифровались данные и были преобразованы в файлы без расширения Проверка с помощью kaspersky virus removal tool не дала результатов. Прикрепляю лог из autologger'а. Буду благодарен за любую помощь. Также, прикрепляю отчеты FRST и README CollectionLog-2018.10.23-02.57.zip README.zip FRST.zip Изменено 23 октября, 2018 пользователем it4
thyrex Опубликовано 23 октября, 2018 Опубликовано 23 октября, 2018 Это CryptConsole 3. Без ключей, уникальных для каждого компьютера, расшифровать невозможно. Ничего плохого логи не показали.
it4 Опубликовано 23 октября, 2018 Автор Опубликовано 23 октября, 2018 Как нам быть в такой ситуации, чтобы вернуть файлы в первоначальный вид?
thyrex Опубликовано 23 октября, 2018 Опубликовано 23 октября, 2018 Без обращения к злоумышленникам, увы, никак. Используется безопасный метод генерации ключей, подобрать которые в принципе нереально. Но к ним на свой страх и риск, если решитесь.
it4 Опубликовано 24 октября, 2018 Автор Опубликовано 24 октября, 2018 Добрый день! выкладываю свежие логи из autologgerа. Также, прикрепляю отчеты FRST и еще один README Из последних вложений можно увидеть ПК, с которого прошло шифрование и каким способом? FRST.zip README.txt CollectionLog-2018.10.24-14.54.zip
thyrex Опубликовано 24 октября, 2018 Опубликовано 24 октября, 2018 () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\waspwing.exe () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\ssms.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\spoolsv.exe эти процессы от программы удаленного администрирования Вам врядли известны? А там и TeamViwer еще, и Radmin...
it4 Опубликовано 25 октября, 2018 Автор Опубликовано 25 октября, 2018 Мы заметили в ленте, что пользователь papakarloоплатил требования злоумышленников и провел оплату дешифровщика. Ситуация и README.txt схожа с нашим Скрин прилагаю Стоит ли нам подождать пока появиться дешифратор с ключами по нашей проблеме? Подозрительно то, что на всех ПК и серверах стоит Касперский Internet Security и он не обнаружил угрозы заражения
thyrex Опубликовано 25 октября, 2018 Опубликовано 25 октября, 2018 Ключ шифрования уникальный для каждого компьютера и генерируется при работе шифратора, поэтому его дешифратор со встроенным ключом под его случай Вам не подойдет. Лучше бы ответили на вопрос, заданный Вам, а не мониторили похожие темы.
it4 Опубликовано 25 октября, 2018 Автор Опубликовано 25 октября, 2018 () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe() C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\waspwing.exe () C:\Windows\Inf\ssmngservice\0009\v3.5.56385\1049\5.0\wasp.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\ssms.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe () C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\spoolsv.exe эти процессы от программы удаленного администрирования Вам врядли известны? А там и TeamViwer еще, и Radmin... Дaнные процессы нам неизвестны. TeamViewer стоит для запуска вручную, а не службой. Radmin тоже установлен для настройки самого сервера
thyrex Опубликовано 25 октября, 2018 Опубликовано 25 октября, 2018 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe',''); QuarantineFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe',''); SetServiceStart('spoolmngservice', 4); DeleteService('spoolmngservice'); SetServiceStart('dbssmgr', 4); DeleteService('dbssmgr'); TerminateProcessByName('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe'); QuarantineFile('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe',''); TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe'); QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe',''); TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe'); QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe',''); TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe'); QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe',''); TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe'); QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe',''); DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe','32'); DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe','32'); DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe','32'); DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe','32'); DeleteFile('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\wahiver.exe','32'); DeleteFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe','32'); DeleteFile('C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
it4 Опубликовано 26 октября, 2018 Автор Опубликовано 26 октября, 2018 Ответ загрузки по ссылке https://virusinfo.in...s.php?tid=37678 Результат загрузки Файл сохранён как 181026_042948_quarantine_5bd2983c18951.zip Размер файла 3984997 MD5 2ddd0dfb0d119df8a8910b08aa8e36b4 Файл закачан, спасибо! Добавили свежие логи из autologgerа. CollectionLog-2018.10.26-07.33.zip
it4 Опубликовано 26 октября, 2018 Автор Опубликовано 26 октября, 2018 Логи FRST Addition.txt FRST.txt
thyrex Опубликовано 26 октября, 2018 Опубликовано 26 октября, 2018 1. Выделите следующий код: Start:: CreateRestorePoint: Tcpip\..\Interfaces\{1848D245-94CF-4BD8-A187-19CFF01416BA}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Tcpip\..\Interfaces\{BCA0E640-22C3-408E-843D-5F5E3462959B}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom Startup: C:\Users\Али\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2018-10-22] () 2018-10-22 04:55 - 2018-10-22 04:55 - 000001211 _____ C:\Users\Али\AppData\Local\Temp\README.txt 2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Али\README.txt 2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Али\AppData\README.txt 2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Public\README.txt 2018-10-22 04:54 - 2018-10-22 04:54 - 000001211 _____ C:\Users\Public\Documents\README.txt c:\windows\inf\ssmngservice End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
it4 Опубликовано 29 октября, 2018 Автор Опубликовано 29 октября, 2018 Отправляю файл fixlog Fixlog.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти