Vintorez_vrn 0 Опубликовано 9 января, 2020 Share Опубликовано 9 января, 2020 (изменено) Здравствуйте! Помогите пожалуйста, случилось следующее: на два сервера в одном домене попал Trojan.Ransom.Win32.Crusis.to и всё там зашифровал. Попал предположительно через RDP в ночь с 6 на 7 января 2020 года. Все файлы на одном из серверов имеют вот такое окончание id-F44B77C0.[writehere@onlinehelp.host ].harma. На втором сервере - id-06B1F04F.[writehere@onlinehelp.host ].harma Хотелось бы узнать как вообще этот шифровальщик попал на сервера, в какое время и каким образом обошёл KES? Есть ли на сегодняшний день способ расшифровать файлы на серверах? Отчёты Farbar Recovery Scan Tool прилагаю. Спасибо! FRST.txt Addition.txt Изменено 9 января, 2020 пользователем Vintorez_vrn Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 января, 2020 Share Опубликовано 9 января, 2020 (изменено) Здравствуйте! как вообще этот шифровальщик попал на сервераВы сами ответили:через RDP в какое время2020-01-05 23:17 - начало шифрования. каким образом обошёл KES?Предположительно создал пользователяadmin1 (S-1-5-21-4246338659-825374277-942501932-1171 - Administrator - Enabled), который и отключил антивирус. Есть ли на сегодняшний день способ расшифровать файлы на серверах?К сожалению, нет такого способа. Через Панель управления - Удаление программ - удалите нежелательное ПО: Process Hacker 2.39 (r124) Затем: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: Task: {9CD6928F-3AA7-4CBE-826E-2553D6C93FE4} - System32\Tasks\At1 => rundll32.exe ucazfy.s,uxbfzs <==== ATTENTION Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-09] () [File not signed] Startup: C:\Users\dlavrentev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-06] () [File not signed] HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13943 2020-01-09] () [File not signed] HKLM\...\Run: [C:\Users\dlavrentev\AppData\Roaming\Info.hta] => C:\Users\dlavrentev\AppData\Roaming\Info.hta [13943 2020-01-06] () [File not signed] 2020-01-06 03:04 - 2020-01-09 11:18 - 000013943 _____ C:\Windows\system32\Info.hta 2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\FILES ENCRYPTED.txt 2020-01-06 03:04 - 2020-01-06 03:04 - 000013943 _____ C:\Users\dlavrentev\AppData\Roaming\Info.hta 2020-01-06 03:04 - 2020-01-06 03:04 - 000000186 _____ C:\Users\dlavrentev\Desktop\FILES ENCRYPTED.txt 2020-01-05 23:21 - 2020-01-09 13:39 - 000000000 ____D C:\Users\dlavrentev\AppData\Roaming\Process Hacker 2 2020-01-05 23:08 - 2020-01-05 23:21 - 000000000 ____D C:\INFO 2020-01-05 23:07 - 2020-01-09 11:07 - 000000000 ____D C:\Program Files\Process Hacker 2 2020-01-05 23:07 - 2020-01-05 23:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2 End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер перезагрузите вручную. Подробнее читайте в этом руководстве. Изменено 9 января, 2020 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
Vintorez_vrn 0 Опубликовано 9 января, 2020 Автор Share Опубликовано 9 января, 2020 (изменено) Оставил. Здравствуйте! как вообще этот шифровальщик попал на сервераВы сами ответили:через RDP в какое время2020-01-05 23:17 - начало шифрования. каким образом обошёл KES?Предположительно создал пользователяadmin1 (S-1-5-21-4246338659-825374277-942501932-1171 - Administrator - Enabled), который и отключил антивирус. Есть ли на сегодняшний день способ расшифровать файлы на серверах?К сожалению, нет такого способа.Через Панель управления - Удаление программ - удалите нежелательное ПО:Process Hacker 2.39 (r124) Затем: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: Task: {9CD6928F-3AA7-4CBE-826E-2553D6C93FE4} - System32\Tasks\At1 => rundll32.exe ucazfy.s,uxbfzs <==== ATTENTION Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-09] () [File not signed] Startup: C:\Users\dlavrentev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-06] () [File not signed] HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13943 2020-01-09] () [File not signed] HKLM\...\Run: [C:\Users\dlavrentev\AppData\Roaming\Info.hta] => C:\Users\dlavrentev\AppData\Roaming\Info.hta [13943 2020-01-06] () [File not signed] 2020-01-06 03:04 - 2020-01-09 11:18 - 000013943 _____ C:\Windows\system32\Info.hta 2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 2020-01-06 03:04 - 2020-01-09 11:18 - 000000186 _____ C:\FILES ENCRYPTED.txt 2020-01-06 03:04 - 2020-01-06 03:04 - 000013943 _____ C:\Users\dlavrentev\AppData\Roaming\Info.hta 2020-01-06 03:04 - 2020-01-06 03:04 - 000000186 _____ C:\Users\dlavrentev\Desktop\FILES ENCRYPTED.txt 2020-01-05 23:21 - 2020-01-09 13:39 - 000000000 ____D C:\Users\dlavrentev\AppData\Roaming\Process Hacker 2 2020-01-05 23:08 - 2020-01-05 23:21 - 000000000 ____D C:\INFO 2020-01-05 23:07 - 2020-01-09 11:07 - 000000000 ____D C:\Program Files\Process Hacker 2 2020-01-05 23:07 - 2020-01-05 23:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2 End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер перезагрузите вручную.Подробнее читайте в этом руководстве. Fixlog.txt Изменено 9 января, 2020 пользователем Vintorez_vrn Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 января, 2020 Share Опубликовано 9 января, 2020 Не цитируйте, пожалуйста, полностью предыдущее сообщение. Используйте форму быстрого ответа внизу. При копировании скрипта у вас почему-то потерялись двоеточия после слов Start и End, а это важно. Выполните ещё раз этот же скрипт - скопировать (из сообщения №2), запустить FRST64.exe, нажать Fix. Точнее - все двоеточия потерялись, и в путях файлов тоже. Ссылка на сообщение Поделиться на другие сайты
Vintorez_vrn 0 Опубликовано 9 января, 2020 Автор Share Опубликовано 9 января, 2020 (изменено) Исправил Fixlog.txt Изменено 9 января, 2020 пользователем Vintorez_vrn Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 января, 2020 Share Опубликовано 9 января, 2020 Да, теперь верно. Смените пароль на RDP. Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Ссылка на сообщение Поделиться на другие сайты
Vintorez_vrn 0 Опубликовано 9 января, 2020 Автор Share Опубликовано 9 января, 2020 (изменено) Sandor, спасибо Вам за ответы. А что теперь делать с серверами? Есть смысл ждать какого либо дешифратора? Просто у меня тут совсем всё печально даже в actvie directory зайти не получается. Просто как то странно у меня далеко не у одного такая проблема случилась, даже тут на форуме достаточно схожих тем. Должно же быть какое либо решение проблемы то... Изменено 9 января, 2020 пользователем Vintorez_vrn Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 9 января, 2020 Share Опубликовано 9 января, 2020 Есть смысл ждать какого либо дешифратора?Создайте запрос на расшифровку, там ответят предметно. даже в actvie directory зайти не получаетсяВозможно нужно пересоздать вручную ярлыки запуска некоторых программ. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 января, 2020 Share Опубликовано 10 января, 2020 каким образом обошёл KES?Уточните, пожалуйста, в политике KSC задан ли пароль на отключение/удаление антивируса? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти