Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.

Словили шифровальщик, попал на расшаренные диски. 

Файлы приняли вид (cryptocash@aol.com).CASH

 

p/s логи собирал с сервера, где и зашифровались файлы 

CollectionLog-2019.11.03-02.04.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

Вымогатель Dharma (.cezar Family), расшифровки нет, к сожалению.

 

Если нужна помощь в лечении, дополнительно:

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как понять откуда он проник и как защититься в дальнейшем? 

 

Здравствуйте,

Вымогатель Dharma (.cezar Family), расшифровки нет, к сожалению.

Если нужна помощь в лечении, дополнительно:

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
@sparck, не пишите в чужих темах. Этим вы нарушаете правила раздела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ваше сообщение в чужой теме я убрал. А тут ждём:

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как понять откуда он проник и как защититься в дальнейшем?

Слабый пароль RDP и доступ к серверу из сети интернет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обязательно подскажем. Пока:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    HKU\S-1-5-21-1149499151-788901222-273780629-1112\...\Run: [C:\Users\rustam\AppData\Roaming\Info.hta] => C:\Users\rustam\AppData\Roaming\Info.hta [13922 2019-11-13] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2019-11-02] () [File not signed]
    HKLM\...\Run: [C:\Users\rustam\AppData\Roaming\Info.hta] => C:\Users\rustam\AppData\Roaming\Info.hta [13922 2019-11-13] () [File not signed]
    HKU\S-1-5-21-1149499151-788901222-273780629-1112\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2019-11-02 17:17 - 2019-11-13 16:41 - 000013922 _____ C:\Users\rustam\AppData\Roaming\Info.hta
    2019-11-02 17:17 - 2019-11-13 16:41 - 000000220 _____ C:\Users\rustam\Desktop\FILES ENCRYPTED.txt
    2019-11-02 17:17 - 2019-11-02 17:17 - 000013922 _____ C:\Windows\system32\Info.hta
    2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\FILES ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А куда вставлять этот текст, что-то не очень понял......???

Обязательно подскажем. Пока:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-1149499151-788901222-273780629-1112\...\Run: [C:\Users\rustam\AppData\Roaming\Info.hta] => C:\Users\rustam\AppData\Roaming\Info.hta [13922 2019-11-13] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2019-11-02] () [File not signed]
    HKLM\...\Run: [C:\Users\rustam\AppData\Roaming\Info.hta] => C:\Users\rustam\AppData\Roaming\Info.hta [13922 2019-11-13] () [File not signed]
    HKU\S-1-5-21-1149499151-788901222-273780629-1112\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2019-11-02 17:17 - 2019-11-13 16:41 - 000013922 _____ C:\Users\rustam\AppData\Roaming\Info.hta
    2019-11-02 17:17 - 2019-11-13 16:41 - 000000220 _____ C:\Users\rustam\Desktop\FILES ENCRYPTED.txt
    2019-11-02 17:17 - 2019-11-02 17:17 - 000013922 _____ C:\Windows\system32\Info.hta
    2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-11-02 17:17 - 2019-11-02 17:17 - 000000220 _____ C:\FILES ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вставлять никуда не надо. Выполните по пунктам:

- Скопируйте выделенный текст (правой кнопкой - Копировать).

- Запустите FRST (FRST64) от имени администратора.

- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Высылаю файл 


Извините. в предыдущем письме не прикрепился. 

Fixlog.txt

Изменено пользователем sparck

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

К сожалению, все файлы на сервере зашифрованы, в том числе и системные. Сервер умер. Запускать на нем эту программу бессмысленно, она же не расшифрует файлы. 

Подскажите, на других серверах этим скриптом можно проверить уязвимости? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

на других серверах этим скриптом можно проверить уязвимости?

Да, можно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...