scarab Шифровальщик

[Sinful]

Поймали шифровальщик. win server 12, никаких флешек, минимальный выход в интернет, для обновления антивируса и 1с. в итоге антивирус вырубился. и зачем мы только берем  касперкий на 100+ ключей???

в общем и целом, 1с вроде восстановил, но что дальше будет, всеми возможными утилитами проверил. будет ли он распространятся или у него одноразовое действие. сносить ос или же можно оставить????

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Sinful]

1.

• Kaspersky Virus Removal Tool 2015; проверено
• Dr.Web CureIt!. проверено

2 прикрепил

 3 зашифрованы файлы в основном относящиеся к 1с, так же был поврежден загрузочник ОС (восстановил стандартным восстановлением ОС), переустановил 1с в туже папку что и была, база работает, все открывается. отключил сервер от интернета. что дальше? можно ли вылечить? будет ли распространятся если включить сеть обратно? п.с. загрузочные файлы касперского пали еще вчера, сглупил и не обратил на это внимания. просто сделал восстановление и все. то есть вирус убил антивирус. п.п.с. затронут только диск С

CollectionLog-2019.01.18-12.10.zip

Изменено 18 января, 2019 пользователем Sinful

[Sandor]

"Пофиксите" в HijackThis:

 

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\\Windows\\IME\\IMEB\\exp.bat

Если файл

C:\Windows\IME\IMEB\exp.bat

существует, упакуйте его в архив с паролем и пришлите мне в ЛС.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Sinful]

файлы, п.с. что ту у меня мозг похоже совсем отключился, не могу найти в лс прикрепление файлов,

Addition.txt

FRST.txt

Изменено 18 января, 2019 пользователем Sinful

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  IFEO\sethc.exe: [Debugger] C:\\Windows\\IME\\IMEB\\exp.bat
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

 

Если файл C:\Windows\IME\IMEB\exp.bat существует

Вы ничего не ответили. Надо понимать, что файла нет?

[Sinful]

 

существует, упакуйте его в архив с паролем и пришлите мне в ЛС.

 

 

не могу найти в лс прикрепление файлов

и еще, важна ли последовательность действий, сначало пофиксить, потом файл exp, потом фарбар.???

да файл exp.bat есть

fixlog

Fixlog.txt

[Sandor]

Да, последовательность важна. Файл всё ещё жду.

[Sinful]

Да, последовательность важна. Файл всё ещё жду.

exp до

exp posle  после выполнения действий

exp.7z

exp posle.7z

Изменено 18 января, 2019 пользователем Sinful

[Sandor]

Сделайте ещё раз контрольный CollectionLog Автологером.

 

и зачем мы только берем  касперкий на 100+ ключей???

Злоумышленник имел физический доступ к серверу.

 

Тот файл можете удалить.

[Sinful]

Сделайте ещё раз контрольный CollectionLog Автологером.

 

и зачем мы только берем  касперкий на 100+ ключей???

Злоумышленник имел физический доступ к серверу.

 

Тот файл можете удалить.

 

так, а вот это уже интересно, можно какие то подробности??? и как это исправить??? насчет 100 ключей, "извиняюсь", был на нервах.

[Sandor]

можно какие то подробности?

http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/

 

как это исправить?

Мы это уже проделали. Только жду

контрольный CollectionLog

[Sinful]

а что с не читаемыми файлами с расширением crash???

и узнать когда именно был вход злоумышленника нельзя?

CollectionLog-2019.01.18-14.21.zip

Изменено 18 января, 2019 пользователем Sinful

[Sandor]

когда именно был вход злоумышленника

2019-01-18 03:25

 

что с не читаемыми файлами с расширением crash?

Пару таких документов вместе с запиской с требованием выкупа упакуйте в архив и прикрепите к следующему сообщению.

[Sinful]

пароль тот же

primer.7z