Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

Появился на нашем файловом сервере вот такой вот вредитель. Шифрует файлы с расширением pgp, антивирус его пропускает. Скажите пожалуйста как быть в данной ситуации? Есть какой нибудь дешифратор?  Как его убить? Даже бэкапы зашифровал. После шифра файла, к файлу добавляется вот такой текст [openpgp@foxmail.com].pgp. Прикладываю  к посту файлы автологера, прошу тему не закрывать, пострадало серверов много, завтра сброшу сюда же еще файлы с других серверов.

Спасибо!

CollectionLog-2020.06.28-21.17.zip

Ссылка на сообщение
Поделиться на другие сайты

На будущее настоятельно рекомендуется читать правила оформления запроса раздела, в котором пишете, и присылать только запрашиваемые в правилах логи.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\romwln.dll','');
 TerminateProcessByName('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe');
 QuarantineFile('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe','');
 QuarantineFile('c:\users\ivanova.ad\desktop\ns.exe','');
 DeleteFile('c:\users\ivanova.ad\desktop\ns.exe','32');
 DeleteFile('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe','32');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4133099764-3922599318-3389021176-1215\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\ivanova.AD\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4133099764-3922599318-3389021176-1215\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\ivanova.AD\AppData\Roaming\Info.hta','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Прикрепите к следующему сообщению логи, сделанные по правилам оформления запроса
 

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения!

Вот нормальные логи и архив.

Логи.rar Doklad fito._docx.id-02ADE976.[openpgp@foxmail.com].rar

 

Скрипты прогнал.

Зип файл загрузил.

Копирую как просили полученный ответ

 

Файл сохранён как 200629_075408_2020-06-29_5ef99e2040cca.zip
Размер файла 133519
MD5 d28ab056ee0d9e6a9cb1c140787e30f6

Файл закачан, спасибо!

 

Прикрепил логи с 2го сервера, архив с шифрованным файлом прикладывал выше

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Логи с остальных машин бесполезны. Они, если и пострадали, то по сети.

 

С расшифровкой помочь не сможем. Будет только зачистка мусора в системе.

 

Выполните написанное ниже на первом сервере.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe [2020-06-28] (Microsoft Corporation -> Microsoft Corporation)
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-28] () [File not signed] [File is in use]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-18] () [File not signed] [File is in use]
C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

 

 

Ссылка на сообщение
Поделиться на другие сайты
47 minutes ago, thyrex said:

Логи с остальных машин бесполезны. Они, если и пострадали, то по сети.

 

С расшифровкой помочь не сможем. Будет только зачистка мусора в системе.

 

Выполните написанное ниже на первом сервере.

 

1. Выделите следующий код:


Start::
CreateRestorePoint:
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe [2020-06-28] (Microsoft Corporation -> Microsoft Corporation)
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-28] () [File not signed] [File is in use]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-18] () [File not signed] [File is in use]
C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

 

 

А можно скинуть логи  с компьютера виновного? Этот сервер я думаю тоже заразился по сети..

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
39 minutes ago, an4ou5 said:

А можно скинуть логи  с компьютера виновного? Этот сервер я думаю тоже заразился по сети..

Fixlog.txt 3 kB · 0 downloads

предположительно виновного!

Ссылка на сообщение
Поделиться на другие сайты

Нашел рассадник заразы, он опять зашифровал сервер предыдущий, скажите пожалуйста последним скриптом я опять могу убить эту всю заразу? или надо все по новой проделать? Сейчас соберу логи с компьютера распространителя 

 

1 час назад, thyrex сказал:

Ну давайте посмотрим.

 

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Да нет в логах никаких следов шифровальщика. Если этот сервер сам пострадал по сети, то искать нужно на локальных компьютерах пользователей, имеющих подключение к серверу.

Ссылка на сообщение
Поделиться на другие сайты
14 hours ago, thyrex said:

Да нет в логах никаких следов шифровальщика. Если этот сервер сам пострадал по сети, то искать нужно на локальных компьютерах пользователей, имеющих подключение к серверу.

Логи, которые я прикрепил последние и есть с локального компьютера, с него опять вчера пошел шифр сервера, который мы чистили скриптами выше, скажите пожалуйста как его выпелить оттуда, опять прогнать скрипты, которые вы постили выше?

Ссылка на сообщение
Поделиться на другие сайты

Если бы там были следы шифратора, я бы выдал новый скрипт. А там ничего подозрительного. Даже из-под пользователя ivanova.

Ссылка на сообщение
Поделиться на другие сайты
9 minutes ago, thyrex said:

Если бы там были следы шифратора, я бы выдал новый скрипт. А там ничего подозрительного. Даже из-под пользователя ivanova.

 

Вчера именно с этого компьютера при попытке зайти на удаленный рабочий стол 1с началось шифрование удаленного рабочего стола, что делать в очередной раз прогнать скрипты на том сервере, которые вы прикрепили выше? Как я понимаю вирус не на самом сервере логи которого я выкладывал ранее, а где то на локальном компьютере?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Близнец
      Здравствуйте!
      Подцепили вчера точно такого же шифровальщика.
      Видать через RDP.
      База 1С накрылась. Есть ли какой-нибудь шанс спасти данные?
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • От megabublik
      Windows Server 2008, схватили шифровальщик который зашифровал все файлы и попросил денег:( Требуется помощь в решении проблемы. Пользователи на этой системе фактически не работают, видимо просочился через RDP или еще какую-нибудь уязвимость...
       

      CollectionLog-2020.10.29-11.48.zip
    • От sanyko
      Добрый день. Был заражён рабочий ПК и зашифрованы бОльшая часть файлов. Если есть возможность расшифровать файлы буду очень признателен за информацию. Есть оригинальные и зашифрованные файлы. Прикрепляю их к посту. Спасибо.files.rar
    • От rsvkondr
      Здравствуйте! поймали шифровальщик harma. На компьютере стоял Kaspersky Endpoint Security 11. Все файлы зашифровались. Просим помощи.
       
      Virus_system32.7z LOG.rar Зараженные файлы.rar
    • От msk.dmit
      Здравствуйте.
      Файлы на компьютере оказались зашифрованы, сможете помочь?
      Файл в архиве прикладываю.
      Спасибо. 
      С уважением, Дмитрий
      Счет на оплату № 328 от 24 августа 2020 г.pdf.id-F07CBFFB.[lpe-cve@usa.com].zip
×
×
  • Создать...