phobos .Caley

18 мая, 2020

Добрый день! на сервере стоит виртуальная машина, на нее какимто образом попал шифровальшик. зашифровал файлы и полез дальше, вовремя отрубил сеть от виртульной машины... стоит KES но на виртуальной машине его не было. хотелось бы узнать как он туда попал?

CollectionLog-2020.05.18-08.03.zip

18 мая, 2020

Здравствуйте!

1 час назад, khlkolan сказал:

виртуальная машина

Вымогатель активен. Лечение виртуальной машины нужно?

2-3 зашифрованных документа с запиской о выкупе упакуйте в архив и прикрепите к следующему сообщению.

18 мая, 2020

Лечение нужно. антивируса нету вымогатель активен

Desktop.zip

18 мая, 2020

Тип вымогателя Phobos. К сожалению, расшифровка невозможна.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
	 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
	 ClearQuarantineEx(true);
	 TerminateProcessByName('c:\users\update\appdata\local\antirecuvaanddb.exe');
	 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
	 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
	 QuarantineFile('C:\Users\update\AppData\Local\AntiRecuvaAndDB.exe', '');
	 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64');
	 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
	 DeleteFile('C:\Users\update\AppData\Local\AntiRecuvaAndDB.exe', '64');
	 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '64');
	 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
	ExecuteSysClean;
	 ExecuteRepair(9);
	end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 18 мая, 2020 пользователем Sandor

19 мая, 2020

Благодарим за обращение в Антивирусную Лабораторию.
Ваш запрос зарегистрирован под номером 817515 и будет обработан вирусным аналитиком в ближайшее времяCollectionLog-2020.05.19-07.00.zip

Здравствуйте,

Данное срабатывание не является ложным.
Вердикт является корректным.
HEUR:Trojan.Win32.Generic.

[KL-817515]

Изменено 19 мая, 2020 пользователем khlkolan

19 мая, 2020

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

27 мая, 2020

извиняюсь за такое отсутствие, не было возможности запустить машину.

Addition.txt FRST.txt

27 мая, 2020

Да, с системой что-то не так. Похоже запущена с временным профилем.

Если нужна помощь в восстановлении системы, обратитесь в соседний раздел.

28 мая, 2020

да фиг с системой, интересует как он туда попал. Это выяснить можно? Т.к это виртуальная машина, на нее не заходили больше года...

28 мая, 2020

Способов много, от взлома RDP до физического входа злоумышленника, имеющего доступ.

28 мая, 2020

спасибо и на этом.

phobos .Caley

Рекомендуемые сообщения

khlkolan

Sandor

khlkolan

Sandor

khlkolan

Sandor

khlkolan

Sandor

khlkolan

Sandor

khlkolan

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum