mika.dronov 0 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 3/10 /19 На сервере были зашифрованы все файлы. На данный момент, сервер отключен от основной сети ПК.С порядком оформления запроса о помощи ознакомлен, но при попытки закинуть любой файл/программу они сразу же блокируются и я никак не могу закинуть логи. Подскажите, какие мои следующие действия? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Здравствуйте, чем блокируются? Ссылка на сообщение Поделиться на другие сайты
mika.dronov 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 (изменено) Здравствуйте, чем блокируются? Файлы шифровались harma, сейчас с этим разобрался. Отправляю логи. CollectionLog-2019.10.10-12.30.zip Изменено 10 октября, 2019 пользователем mika.dronov Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Здравствуйте! Расшифровки этой версии вымогателя нет, к сожалению. Будет только лечение и очистка мусора. SpyHunter 5 деинсталлируйте как бесполезный (и даже вредный). Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\E5M99S_payload.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\E5M99S_payload.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32'); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\E5M99S_payload.exe', ''); DeleteFile('C:\Users\Администратор\AppData\Roaming\E5M99S_payload.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', ''); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
mika.dronov 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 Здравствуйте! Расшифровки этой версии вымогателя нет, к сожалению. Будет только лечение и очистка мусора. SpyHunter 5 деинсталлируйте как бесполезный (и даже вредный). Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\E5M99S_payload.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\E5M99S_payload.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32'); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\E5M99S_payload.exe', ''); DeleteFile('C:\Users\Администратор\AppData\Roaming\E5M99S_payload.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', ''); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. После перезагрузки, все файлы снова начали шифроваться, включая файл quarantine.zip CollectionLog-2019.10.10-13.39.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу. Уточните - вы использовали альтернативную версию Автологера. Обычная не работает? Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
mika.dronov 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 (изменено) @Sandor, Автолог скачивал от сюда https://www.softportal.com/software-34157-autologger.html, т.к. скачаный автолог с форума не работал. FRST.txt Addition.txt Изменено 10 октября, 2019 пользователем mika.dronov Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Автолог скачивал от сюдаЭто еще зачем? В правилах ведь рядом ссылка на "зеркало". Пароли на RDP смените. Далее: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13927 2019-10-10] () [File not signed] HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13927 2019-10-10] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe [2019-10-10] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-10-10] () [File not signed] Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe [2019-10-10] () [File not signed] 2019-10-03 20:49 - 2019-10-10 13:36 - 000013927 _____ C:\Windows\system32\Info.hta 2019-10-03 20:49 - 2019-10-10 13:36 - 000013927 _____ C:\Users\Администратор\AppData\Roaming\Info.hta 2019-10-03 20:49 - 2019-10-10 13:36 - 000000230 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 2019-10-03 20:49 - 2019-10-10 13:36 - 000000230 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt 2019-10-03 20:49 - 2019-10-10 13:36 - 000000230 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2019-10-03 20:49 - 2019-10-10 13:36 - 000000230 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 2019-10-03 20:49 - 2019-10-10 13:36 - 000000230 _____ C:\FILES ENCRYPTED.txt End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Автологер и созданную им папку вместе с содержимым удалите. Скачайте еще раз по ссылке из правил и соберите свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
mika.dronov 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 (изменено) @Sandor, Автолог с зеркала тоже не запускался. После запуска и начала выполнения, вылетел синий экран смерти.В систему проникли через RDP? Fixlog.txt CollectionLog-2019.10.10-14.29.zip Изменено 10 октября, 2019 пользователем mika.dronov Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 проникли через RDP?Скорее всего да. "Пофиксите" в HijackThis: O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta Ярлыки запуска программ придется пересоздать вручную. Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Ссылка на сообщение Поделиться на другие сайты
mika.dronov 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 @Sandor, При выполнении скрипта вылетел экран смерти, после запуска повторно найдено 3 уязвимости. Подскажите, на этом удаление harma завершенно? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 вылетел экран смертиИМХО, это не связано с выполнением скрипта, а скорее совпадение. Если есть необходимость, можете попробовать выяснить причину с помощью специалистов в соседнем разделе. В логах были видны только следы вымогателя. Не исключено, что лез по сети, либо через взломанный RDP. Читайте Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
mika.dronov 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 @Sandor, Спасибо! Ссылка на сообщение Поделиться на другие сайты
mika.dronov 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 @Sandor, вычитал, что можно попробовать восстановить ключ расшифровки, не подскажите есть ли шанс и что искать? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Ключ, который служит для расшифровки файлов накрывается публичным RSA ключом большой длины. Поэтому шансов я думаю нет. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти