.Caley

[khlkolan]

Добрый день! на сервере стоит виртуальная машина, на нее какимто образом попал шифровальшик. зашифровал файлы и полез дальше, вовремя отрубил сеть от виртульной машины...  стоит KES но на виртуальной машине его не было. хотелось бы узнать как он туда попал? 

CollectionLog-2020.05.18-08.03.zip

[Sandor]

Здравствуйте!

 

1 час назад, khlkolan сказал:

виртуальная машина

Вымогатель активен. Лечение виртуальной машины нужно?

 

2-3 зашифрованных документа с запиской о выкупе упакуйте в архив и прикрепите к следующему сообщению.

 

[khlkolan]

Лечение нужно. антивируса нету вымогатель активен

Desktop.zip

[Sandor]

Тип вымогателя Phobos. К сожалению, расшифровка невозможна.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
	 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
	 ClearQuarantineEx(true);
	 TerminateProcessByName('c:\users\update\appdata\local\antirecuvaanddb.exe');
	 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
	 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
	 QuarantineFile('C:\Users\update\AppData\Local\AntiRecuvaAndDB.exe', '');
	 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64');
	 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
	 DeleteFile('C:\Users\update\AppData\Local\AntiRecuvaAndDB.exe', '64');
	 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '64');
	 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
	ExecuteSysClean;
	 ExecuteRepair(9);
	end.

 

Пожалуйста, перезагрузите компьютер вручную.
 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

Изменено 18 мая, 2020 пользователем Sandor

[khlkolan]

Благодарим за обращение в Антивирусную Лабораторию.
Ваш запрос зарегистрирован под номером 817515 и будет обработан вирусным аналитиком в ближайшее времяCollectionLog-2020.05.19-07.00.zip

 

Здравствуйте,

Данное срабатывание не является ложным.
Вердикт является корректным.
HEUR:Trojan.Win32.Generic.

[KL-817515]

Изменено 19 мая, 2020 пользователем khlkolan

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[khlkolan]

извиняюсь за такое отсутствие, не было возможности запустить машину.

Addition.txt FRST.txt

[Sandor]

Да, с системой что-то не так. Похоже запущена с временным профилем.

Если нужна помощь в восстановлении системы, обратитесь в соседний раздел.

[khlkolan]

да фиг с системой, интересует как он туда попал. Это выяснить можно? Т.к это виртуальная машина, на нее не заходили больше года...

[Sandor]

Способов много, от взлома RDP до физического входа злоумышленника, имеющего доступ.

[khlkolan]

спасибо и на этом.