Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

Появился на нашем файловом сервере вот такой вот вредитель. Шифрует файлы с расширением pgp, антивирус его пропускает. Скажите пожалуйста как быть в данной ситуации? Есть какой нибудь дешифратор?  Как его убить? Даже бэкапы зашифровал. После шифра файла, к файлу добавляется вот такой текст [openpgp@foxmail.com].pgp. Прикладываю  к посту файлы автологера, прошу тему не закрывать, пострадало серверов много, завтра сброшу сюда же еще файлы с других серверов.

Спасибо!

CollectionLog-2020.06.28-21.17.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На будущее настоятельно рекомендуется читать правила оформления запроса раздела, в котором пишете, и присылать только запрашиваемые в правилах логи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\romwln.dll','');
 TerminateProcessByName('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe');
 QuarantineFile('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe','');
 QuarantineFile('c:\users\ivanova.ad\desktop\ns.exe','');
 DeleteFile('c:\users\ivanova.ad\desktop\ns.exe','32');
 DeleteFile('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe','32');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4133099764-3922599318-3389021176-1215\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\ivanova.AD\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4133099764-3922599318-3389021176-1215\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\ivanova.AD\AppData\Roaming\Info.hta','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Прикрепите к следующему сообщению логи, сделанные по правилам оформления запроса
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения!

Вот нормальные логи и архив.

Логи.rar Doklad fito._docx.id-02ADE976.[openpgp@foxmail.com].rar

 

Скрипты прогнал.

Зип файл загрузил.

Копирую как просили полученный ответ

 

Файл сохранён как 200629_075408_2020-06-29_5ef99e2040cca.zip
Размер файла 133519
MD5 d28ab056ee0d9e6a9cb1c140787e30f6

Файл закачан, спасибо!

 

Прикрепил логи с 2го сервера, архив с шифрованным файлом прикладывал выше

Addition.txt FRST.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Логи с остальных машин бесполезны. Они, если и пострадали, то по сети.

 

С расшифровкой помочь не сможем. Будет только зачистка мусора в системе.

 

Выполните написанное ниже на первом сервере.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe [2020-06-28] (Microsoft Corporation -> Microsoft Corporation)
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-28] () [File not signed] [File is in use]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-18] () [File not signed] [File is in use]
C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
47 minutes ago, thyrex said:

Логи с остальных машин бесполезны. Они, если и пострадали, то по сети.

 

С расшифровкой помочь не сможем. Будет только зачистка мусора в системе.

 

Выполните написанное ниже на первом сервере.

 

1. Выделите следующий код:


Start::
CreateRestorePoint:
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe [2020-06-28] (Microsoft Corporation -> Microsoft Corporation)
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-28] () [File not signed] [File is in use]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-18] () [File not signed] [File is in use]
C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

 

 

А можно скинуть логи  с компьютера виновного? Этот сервер я думаю тоже заразился по сети..

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
39 minutes ago, an4ou5 said:

А можно скинуть логи  с компьютера виновного? Этот сервер я думаю тоже заразился по сети..

Fixlog.txt 3 kB · 0 downloads

предположительно виновного!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну давайте посмотрим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нашел рассадник заразы, он опять зашифровал сервер предыдущий, скажите пожалуйста последним скриптом я опять могу убить эту всю заразу? или надо все по новой проделать? Сейчас соберу логи с компьютера распространителя 

 

1 час назад, thyrex сказал:

Ну давайте посмотрим.

 

Addition.txt FRST.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата

Ran by ivanova (ATTENTION: The user is not administrator)

Логи нужны из учетной записи с правами администратора. Переделывайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
24 minutes ago, thyrex said:

Логи нужны из учетной записи с правами администратора. Переделывайте.

Пардоньте. Вот

Addition.txt FRST.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да нет в логах никаких следов шифровальщика. Если этот сервер сам пострадал по сети, то искать нужно на локальных компьютерах пользователей, имеющих подключение к серверу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
14 hours ago, thyrex said:

Да нет в логах никаких следов шифровальщика. Если этот сервер сам пострадал по сети, то искать нужно на локальных компьютерах пользователей, имеющих подключение к серверу.

Логи, которые я прикрепил последние и есть с локального компьютера, с него опять вчера пошел шифр сервера, который мы чистили скриптами выше, скажите пожалуйста как его выпелить оттуда, опять прогнать скрипты, которые вы постили выше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если бы там были следы шифратора, я бы выдал новый скрипт. А там ничего подозрительного. Даже из-под пользователя ivanova.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
9 minutes ago, thyrex said:

Если бы там были следы шифратора, я бы выдал новый скрипт. А там ничего подозрительного. Даже из-под пользователя ivanova.

 

Вчера именно с этого компьютера при попытке зайти на удаленный рабочий стол 1с началось шифрование удаленного рабочего стола, что делать в очередной раз прогнать скрипты на том сервере, которые вы прикрепили выше? Как я понимаю вирус не на самом сервере логи которого я выкладывал ранее, а где то на локальном компьютере?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От jew
      Помогите пожалуйста файлы шивровались .
      Помогите с дишифровшиком.
      Весь компьютер заражен .
      Все файлы 🙏.
       
      harma.rar
    • От Дима Д
      Добрый день.
      в реальном времени закрылась 1С попытка повторного запуска  выдала ошибку. тут же выключил сервер но пострадали базы и архивы 1С, теперь все файлы умеют окончание id-84417E33.[openpgp@foxmail.com]
      FRST Addition.rar
      CollectionLog-2020.07.22-11.45.zip
    • От vas
      Здравствуйте!
      Поймали шифровальщика, как - непонятно, система залогиниться не даёт.
      системный раздел и часть данных восстановили из "ночной" копии (таким образом есть исходные и шифрованные экземпляры файлов)
      в восстановленную систему подключил зашифрованные диски
      к именам зашифрованных файлов добавилось ".id-74BE11F1.[crypt0r1@protonmail.com]"
       
      Но, как оказалось, не всё нужное попало в резервную копию...
       
      Автоматический сборщик логов запускал на восстановленной системе
      также прикладываю "образцы" зашифрованных и исходных файлов
       
      с робкой надеждой на успех...
       
      Спасибо!
      CollectionLog-2020.07.17-04.23.zip _образцы.7z
    • От Бердыгали
      Добрый день,
       
      Наткнулись на новый Дешифровке 
      Помогите расшифровать вымогатель
       
      1Cv8.1CD.id-DE37ADE6.[dfgkbtprz@aol.com].bmtf
      текстом: FILES ENCRYPTED
      а внутри текста: all your data has been locked us
      You want to return?
      write email dfgkbtprz@aol.com or dfgkbtprzvb@aol.com  
       
      Сообщение от модератора thyrex Перемещено из раздела Е.К.  
×
×
  • Создать...