Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

Появился на нашем файловом сервере вот такой вот вредитель. Шифрует файлы с расширением pgp, антивирус его пропускает. Скажите пожалуйста как быть в данной ситуации? Есть какой нибудь дешифратор?  Как его убить? Даже бэкапы зашифровал. После шифра файла, к файлу добавляется вот такой текст [openpgp@foxmail.com].pgp. Прикладываю  к посту файлы автологера, прошу тему не закрывать, пострадало серверов много, завтра сброшу сюда же еще файлы с других серверов.

Спасибо!

CollectionLog-2020.06.28-21.17.zip

Ссылка на сообщение
Поделиться на другие сайты

На будущее настоятельно рекомендуется читать правила оформления запроса раздела, в котором пишете, и присылать только запрашиваемые в правилах логи.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\romwln.dll','');
 TerminateProcessByName('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe');
 QuarantineFile('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe','');
 QuarantineFile('c:\users\ivanova.ad\desktop\ns.exe','');
 DeleteFile('c:\users\ivanova.ad\desktop\ns.exe','32');
 DeleteFile('C:\Users\ivanova.AD\Desktop\openpgp@foxmail.com.exe','32');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Users\ivanova.AD\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4133099764-3922599318-3389021176-1215\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\ivanova.AD\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4133099764-3922599318-3389021176-1215\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\ivanova.AD\AppData\Roaming\Info.hta','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Прикрепите к следующему сообщению логи, сделанные по правилам оформления запроса
 

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения!

Вот нормальные логи и архив.

Логи.rar Doklad fito._docx.id-02ADE976.[openpgp@foxmail.com].rar

 

Скрипты прогнал.

Зип файл загрузил.

Копирую как просили полученный ответ

 

Файл сохранён как 200629_075408_2020-06-29_5ef99e2040cca.zip
Размер файла 133519
MD5 d28ab056ee0d9e6a9cb1c140787e30f6

Файл закачан, спасибо!

 

Прикрепил логи с 2го сервера, архив с шифрованным файлом прикладывал выше

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Логи с остальных машин бесполезны. Они, если и пострадали, то по сети.

 

С расшифровкой помочь не сможем. Будет только зачистка мусора в системе.

 

Выполните написанное ниже на первом сервере.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe [2020-06-28] (Microsoft Corporation -> Microsoft Corporation)
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-28] () [File not signed] [File is in use]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-18] () [File not signed] [File is in use]
C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

 

 

Ссылка на сообщение
Поделиться на другие сайты
47 minutes ago, thyrex said:

Логи с остальных машин бесполезны. Они, если и пострадали, то по сети.

 

С расшифровкой помочь не сможем. Будет только зачистка мусора в системе.

 

Выполните написанное ниже на первом сервере.

 

1. Выделите следующий код:


Start::
CreateRestorePoint:
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe [2020-06-28] (Microsoft Corporation -> Microsoft Corporation)
Startup: C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-28] () [File not signed] [File is in use]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-18] () [File not signed] [File is in use]
C:\Users\ivanova.AD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

 

 

А можно скинуть логи  с компьютера виновного? Этот сервер я думаю тоже заразился по сети..

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
39 minutes ago, an4ou5 said:

А можно скинуть логи  с компьютера виновного? Этот сервер я думаю тоже заразился по сети..

Fixlog.txt 3 kB · 0 downloads

предположительно виновного!

Ссылка на сообщение
Поделиться на другие сайты

Нашел рассадник заразы, он опять зашифровал сервер предыдущий, скажите пожалуйста последним скриптом я опять могу убить эту всю заразу? или надо все по новой проделать? Сейчас соберу логи с компьютера распространителя 

 

1 час назад, thyrex сказал:

Ну давайте посмотрим.

 

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Цитата

Ran by ivanova (ATTENTION: The user is not administrator)

Логи нужны из учетной записи с правами администратора. Переделывайте.

Ссылка на сообщение
Поделиться на другие сайты

Да нет в логах никаких следов шифровальщика. Если этот сервер сам пострадал по сети, то искать нужно на локальных компьютерах пользователей, имеющих подключение к серверу.

Ссылка на сообщение
Поделиться на другие сайты
14 hours ago, thyrex said:

Да нет в логах никаких следов шифровальщика. Если этот сервер сам пострадал по сети, то искать нужно на локальных компьютерах пользователей, имеющих подключение к серверу.

Логи, которые я прикрепил последние и есть с локального компьютера, с него опять вчера пошел шифр сервера, который мы чистили скриптами выше, скажите пожалуйста как его выпелить оттуда, опять прогнать скрипты, которые вы постили выше?

Ссылка на сообщение
Поделиться на другие сайты

Если бы там были следы шифратора, я бы выдал новый скрипт. А там ничего подозрительного. Даже из-под пользователя ivanova.

Ссылка на сообщение
Поделиться на другие сайты
9 minutes ago, thyrex said:

Если бы там были следы шифратора, я бы выдал новый скрипт. А там ничего подозрительного. Даже из-под пользователя ivanova.

 

Вчера именно с этого компьютера при попытке зайти на удаленный рабочий стол 1с началось шифрование удаленного рабочего стола, что делать в очередной раз прогнать скрипты на том сервере, которые вы прикрепили выше? Как я понимаю вирус не на самом сервере логи которого я выкладывал ранее, а где то на локальном компьютере?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От bigV
      Прошу помочь в расшифровке.
      Есть база данный MySQL на 6 Gb, и файловое хранилище, основная цель дешифровать эти файлы.

      Если расшифровка невозможна, прошу указать в ответе.
      Заранее благодарю.
      ----------------------
      Please help me decrypt files. There is a 6 Gb MySQL database, and file storage, the main purpose is to decrypt these files. If decryption is not possible, please indicate in the answer. Thank you in advance.
      encrypted and orig files.7z
      FILES ENCRYPTED.txt
    • От Маitymrf22
      Привет. Залетел на сервер рабочий вирус, большинство файлов зашифровано. Доп. вопрос - можно ли открывать сервер и пользоваться не зашифрованными файлами?
      Addition.txt FRST.txt Файлы.rar
    • От mixa200z
      28.06.2021 залетел вирус  
      Каталоги 2018.zip FILES ENCRYPTED.txt
    • От Максим Ivanov
      28.06.2021 был обнаружен вирус, вирус удален, но все файлы зашифрованы кроме содержимого папки Windows. Ко всем зашифрованным файлам добавлено id-96BF629A.[James2020m@aol.com].MUST. 
      Addition.txt FRST.txt Файлы.rar
    • От 12fingers
      Добрый день!
      После работы через RDP возникла/обнаружена проблема.
      Прилагаю файлы как указано.
      Выявить файл шифровальщик не смог.
      Addition.txt FILES ENCRYPTED.txt FRST.txt 2criptfiles.zip
×
×
  • Создать...