Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Шифровальщик Trojan.Ransom.Win32.Crusis.to

Vintorez_vrn
 Поделиться

Рекомендуемые сообщения

Vintorez_vrn

Vintorez_vrn

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Помогите пожалуйста, случилось следующее: на два сервера в одном домене попал Trojan.Ransom.Win32.Crusis.to и всё там зашифровал. Попал предположительно через RDP в ночь с 6 на 7 января 2020 года.

Все файлы на одном из серверов имеют вот такое окончание id-F44B77C0.[writehere@onlinehelp.host ].harma. На втором сервере - id-06B1F04F.[writehere@onlinehelp.host ].harma 

 

Хотелось бы узнать как вообще этот шифровальщик попал на сервера, в какое время и каким образом обошёл KES?

Есть ли на сегодняшний день способ расшифровать файлы на серверах? 

Отчёты Farbar Recovery Scan Tool  прилагаю.

 

Спасибо!

FRST.txt

Addition.txt

Изменено пользователем Vintorez_vrn
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

как вообще этот шифровальщик попал на сервера

Вы сами ответили:

через RDP

в какое время

2020-01-05 23:17 - начало шифрования.

 

каким образом обошёл KES?

Предположительно создал пользователя

admin1 (S-1-5-21-4246338659-825374277-942501932-1171 - Administrator - Enabled), который и отключил антивирус.

 

Есть ли на сегодняшний день способ расшифровать файлы на серверах?

К сожалению, нет такого способа.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Process Hacker 2.39 (r124)

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
Task: {9CD6928F-3AA7-4CBE-826E-2553D6C93FE4} - System32\Tasks\At1 => rundll32.exe ucazfy.s,uxbfzs <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-09] () [File not signed]
Startup: C:\Users\dlavrentev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-06] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13943 2020-01-09] () [File not signed]
HKLM\...\Run: [C:\Users\dlavrentev\AppData\Roaming\Info.hta] => C:\Users\dlavrentev\AppData\Roaming\Info.hta [13943 2020-01-06] () [File not signed]
2020-01-06 03:04 - 2020-01-09 11:18 - 000013943 _____ C:\Windows\system32\Info.hta
2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\FILES ENCRYPTED.txt
2020-01-06 03:04 - 2020-01-06 03:04 - 000013943 _____ C:\Users\dlavrentev\AppData\Roaming\Info.hta
2020-01-06 03:04 - 2020-01-06 03:04 - 000000186 _____ C:\Users\dlavrentev\Desktop\FILES ENCRYPTED.txt
2020-01-05 23:21 - 2020-01-09 13:39 - 000000000 ____D C:\Users\dlavrentev\AppData\Roaming\Process Hacker 2
2020-01-05 23:08 - 2020-01-05 23:21 - 000000000 ____D C:\INFO
2020-01-05 23:07 - 2020-01-09 11:07 - 000000000 ____D C:\Program Files\Process Hacker 2
2020-01-05 23:07 - 2020-01-05 23:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Vintorez_vrn

Vintorez_vrn

Опубликовано
  • Автор
Опубликовано (изменено)

Оставил.


Здравствуйте!
 

как вообще этот шифровальщик попал на сервера

Вы сами ответили:

через RDP


в какое время

2020-01-05 23:17 - начало шифрования.
 

каким образом обошёл KES?

Предположительно создал пользователя
admin1 (S-1-5-21-4246338659-825374277-942501932-1171 - Administrator - Enabled), который и отключил антивирус.
 

Есть ли на сегодняшний день способ расшифровать файлы на серверах?

К сожалению, нет такого способа.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Process Hacker 2.39 (r124)


Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
Task: {9CD6928F-3AA7-4CBE-826E-2553D6C93FE4} - System32\Tasks\At1 => rundll32.exe ucazfy.s,uxbfzs <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-09] () [File not signed]
Startup: C:\Users\dlavrentev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-06] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13943 2020-01-09] () [File not signed]
HKLM\...\Run: [C:\Users\dlavrentev\AppData\Roaming\Info.hta] => C:\Users\dlavrentev\AppData\Roaming\Info.hta [13943 2020-01-06] () [File not signed]
2020-01-06 03:04 - 2020-01-09 11:18 - 000013943 _____ C:\Windows\system32\Info.hta
2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\FILES ENCRYPTED.txt
2020-01-06 03:04 - 2020-01-06 03:04 - 000013943 _____ C:\Users\dlavrentev\AppData\Roaming\Info.hta
2020-01-06 03:04 - 2020-01-06 03:04 - 000000186 _____ C:\Users\dlavrentev\Desktop\FILES ENCRYPTED.txt
2020-01-05 23:21 - 2020-01-09 13:39 - 000000000 ____D C:\Users\dlavrentev\AppData\Roaming\Process Hacker 2
2020-01-05 23:08 - 2020-01-05 23:21 - 000000000 ____D C:\INFO
2020-01-05 23:07 - 2020-01-09 11:07 - 000000000 ____D C:\Program Files\Process Hacker 2
2020-01-05 23:07 - 2020-01-05 23:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Изменено пользователем Vintorez_vrn
Sandor

Sandor

Опубликовано
Опубликовано

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

При копировании скрипта у вас почему-то потерялись двоеточия после слов Start и End, а это важно.

Выполните ещё раз этот же скрипт - скопировать (из сообщения №2), запустить FRST64.exe, нажать Fix.

Точнее - все двоеточия потерялись, и в путях файлов тоже.

Sandor

Sandor

Опубликовано
Опубликовано

Да, теперь верно.

 

Смените пароль на RDP.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:
 
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
 
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
 
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Vintorez_vrn

Vintorez_vrn

Опубликовано
  • Автор
Опубликовано (изменено)

Sandor, спасибо Вам за ответы. А что теперь делать с серверами? Есть смысл ждать какого либо дешифратора? Просто у меня тут совсем всё печально даже в actvie directory зайти не получается.

Просто как то странно у меня далеко не у одного такая проблема случилась, даже тут на форуме достаточно схожих тем. Должно же быть какое либо решение проблемы то...

Изменено пользователем Vintorez_vrn
Sandor

Sandor

Опубликовано
Опубликовано

Есть смысл ждать какого либо дешифратора?

Создайте запрос на расшифровку, там ответят предметно.

 

даже в actvie directory зайти не получается

Возможно нужно пересоздать вручную ярлыки запуска некоторых программ.
Sandor

Sandor

Опубликовано
Опубликовано

каким образом обошёл KES?

Уточните, пожалуйста, в политике KSC задан ли пароль на отключение/удаление антивируса?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей47
      c0v1d19@job4u.com
      Автор Сергей47
      Кто-нибудь сталкивался с этим?
    • bigV
      Нужна помощь в расшифровке *.id-3E7283FC.[everyday@dr.com].myday
      Автор bigV
      Прошу помочь в расшифровке.
      Есть база данный MySQL на 6 Gb, и файловое хранилище, основная цель дешифровать эти файлы.

      Если расшифровка невозможна, прошу указать в ответе.
      Заранее благодарю.
      ----------------------
      Please help me decrypt files. There is a 6 Gb MySQL database, and file storage, the main purpose is to decrypt these files. If decryption is not possible, please indicate in the answer. Thank you in advance.
      encrypted and orig files.7z
      FILES ENCRYPTED.txt
    • Stedxem91
      Помогите спасти точки восстановления!
      Автор Stedxem91
      Здравствуйте! У меня несколько не стандартная ситуация! В организации 4 компьютера заражены вирусом шифровальщиком с почтой james2020m@aol.com, странно что не в хронологическом порядке и не с общими папками! Три из них заражены полностью, то есть камня на камне не осталось от информации, затерто буквально все что можно, но есть один, по которому он прошелся всего ничего - зашифровал три базы 1с из 20 примерно, все документы в порядке, это я смотрю через live cd. Но я также вижу, что у него живые точки восстановления! В папке system volume information, там файлы по 5 гигабайт не зашифрованы! Я так понимаю, что если я заведу компьютер в обычном режиме - то вирус продолжит свою работу! Если же не заведу - то не смогу воспользоваться точкам восстановления! Подскажите, как его остановить, чтобы можно было запустить систему и предыдущие версии баз восстановить!
      DESKPR.0.rar Подпись модуль.2.jpg.id-043779A6.[James2020m@aol.com].rar
    • test17
      PROJECTBLACK@CRIPTEXT.COM - кидалово
      Автор test17
      PROJECTBLACK@CRIPTEXT.COM
       
      Не платите выкуп данному мошеннику!
      Это кидалово.
      Деньги перечислены - декриптора нет уже неделю!
      Потеряны деньги, потеряно время.
       
      Do not pay a ransom to this fraudster!
      This is a scam.
      The money has been transferred - the descriptor has been missing for a week!
    • mixa200z
      Шифровальщик [projectblack@criptext.com].PB
      Автор mixa200z
      28.06.2021 залетел вирус  
      Каталоги 2018.zip FILES ENCRYPTED.txt
×
×
  • Создать...