Перейти к содержанию

Рекомендуемые сообщения

Сегодня ночью (в 2:33 МСК+2) на бухгалтерском сервере были зашифрованы файлы. Базы 1С скорее всего не пострадали (восстановились), однако многие пользовательские файлы остались зашифрованы. Подключение к серверу происходит по RDP, причем в логах было видно, что под бухгалтером зашли аккурат перед шифрованием. Так же отмечалась повышенная активность при сканировании внешних портов на нашем IP. Номер порта при пробросе меняем каждую неделю, произвели настройку RouterOS, но результат такой какой есть. Попробовали связаться со злоумышленниками, с адреса leeabror@gmail.com пришло письмо следующего содержания:

 

"Для оплаты вам необходимо совершить обмен рублей на биткоины
для этого заходите на специальный обменник(их много, воспользоваться можно любым удобным)
например: https://mine.exchange/?rid=17&cur_from=SBERRUB&cur_to=BTC
или https://ob-men.com/exchange-SBERRUB-to-BTC/ https://cashbank.pro/?rid=840
На главной странице везде 2 столбика : ОТДАЕТЕ и ПОЛУЧАЕТЕ
в столбике ОТДАЕТЕ выбираете свой банк или название кошелька , например КИВИ
в столбике получаете выбираете Bitcoin BTC
далее следуете указанием на обменнике: указываете сумму в рублях, обменник сам конвертирует ее в биткоины, указываете  кошелек биткоина : 332ChhpokXXpEpwK2sbRG6gEnyxojyyRBQ
заполняете все графы и формируете заявку , номер заявки необходимо отправить оператору онлайн (справа на сайте внизу окно)
оператор предоставляет вам данные карты куда совершается перевод и вы заходите в свой банк онлайн и совершаете оплату. Потом пишете, что оплату совершили оператору. Перевод занимает 20-30 минут. Напишите мне, что оплатили. Как деньги зачислятся, я вышлю программу дешифратор."

 

с предложением оплатить 50 000 рублей. Насколько понимаю, расшифровать файлы не получится...

Addition.txt Documents.zip FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

 

Порты открывали самостоятельно?

Цитата

FirewallRules: [{55D9F675-EDE2-49BB-8D68-7CC79A14D101}] => (Allow) LPort=1688
FirewallRules: [{1B9EA2E0-DA6C-415B-90C5-A430D601EF83}] => (Allow) LPort=8802
FirewallRules: [{8B9A9011-C197-41BB-BB61-ED156F76A675}] => (Allow) LPort=443
FirewallRules: [{31C437B9-23E0-4A57-9144-BF8BC2DE053F}] => (Allow) LPort=443
FirewallRules: [{098CC86B-B1E5-4A60-931C-628F98D5744E}] => (Allow) LPort=443
FirewallRules: [{FDD7818F-24B2-4C45-B5DD-59700099E7EB}] => (Allow) LPort=443
FirewallRules: [{B60D9D14-87CC-4B60-B0E5-1F5EED7BCCCD}] => (Allow) LPort=443
FirewallRules: [{49713A4B-01A1-449A-8846-0A7A325853BD}] => (Allow) LPort=443
FirewallRules: [{B9FB05C6-F598-4DD1-9763-36A5D85E52B7}] => (Allow) LPort=8501
FirewallRules: [{F151DA13-3323-433C-8A16-3982FE3FFB7A}] => (Allow) LPort=8501


 

Ссылка на сообщение
Поделиться на другие сайты

Добрый день, открывали только 8802 на микротике, для удаленного доступа бухгалтера к рабочей машине, но не к серверу. Ее машина тоже пострадала, причем вплоть до синего экрана.

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-3174095181-1406334129-3656909931-500\...\MountPoints2: {eefa1476-5e83-11e3-9124-806e6f6e6963} - D:\AUTORUN.EXE
    Toolbar: HKU\S-1-5-21-3174095181-1406334129-3656909931-500 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    Toolbar: HKU\S-1-5-21-3820103813-2538463676-3415109843-1113 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    2020-07-29 03:05 - 2020-07-29 03:05 - 000005916 _____ C:\Users\findir\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-29 03:04 - 2020-07-29 03:04 - 000005916 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-07-29 03:04 - 2020-07-29 03:04 - 000005916 _____ C:\ProgramData\how_to_decrypt.hta
    2020-07-29 03:01 - 2020-07-29 03:01 - 000005916 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Public\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\Downloads\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\Desktop\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\Roaming\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\LocalLow\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\Local\Temp\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\how_to_decrypt.hta
    2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    FirewallRules: [{55D9F675-EDE2-49BB-8D68-7CC79A14D101}] => (Allow) LPort=1688
    FirewallRules: [{8B9A9011-C197-41BB-BB61-ED156F76A675}] => (Allow) LPort=443
    FirewallRules: [{31C437B9-23E0-4A57-9144-BF8BC2DE053F}] => (Allow) LPort=443
    FirewallRules: [{098CC86B-B1E5-4A60-931C-628F98D5744E}] => (Allow) LPort=443
    FirewallRules: [{FDD7818F-24B2-4C45-B5DD-59700099E7EB}] => (Allow) LPort=443
    FirewallRules: [{B60D9D14-87CC-4B60-B0E5-1F5EED7BCCCD}] => (Allow) LPort=443
    FirewallRules: [{49713A4B-01A1-449A-8846-0A7A325853BD}] => (Allow) LPort=443
    FirewallRules: [{B9FB05C6-F598-4DD1-9763-36A5D85E52B7}] => (Allow) LPort=8501
    FirewallRules: [{F151DA13-3323-433C-8A16-3982FE3FFB7A}] => (Allow) LPort=8501
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txt

 

Спасибо! Обнаружилась только одна уязвимость в MXML, патч установили. Но при этом, в центре обновления дата последних обновлений 16 мая и при проверке новые обновления не обнаруживаются, хотя однозначно должны быть. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От aldoshkin
      Здравствуйте, 
      злоумышленник проник к пользователю через РДП (был простой пароль), и зашифровал файлы на рабочем столе.
      На вашем форуме видел, что вроде как получилось помочь подобной проблемой.
      Desktop.rar
    • От Виталий Голенко
      Здравствуйте. Помогите , поймал вирус Ransom.74e, все файлы зашифрованы. Есть ли возможность их расшифровать? файлы прилагаю. пароль от архива с вирусом: virus
      FRST.txt svcabb.rar
    • От Atlat8
      Добрый день, поймал шифровальщика    Trojan.Encoder.567 , помогите расшифровать.
      geze.zip Элит-Сервис.docx
       
      Сообщение от модератора Soft Тема перенесена из раздела "Задай вопрос Евгению Касперскому!"  
    • От АлександрТЛТ
      Добрый день, вот и до нас добрались, прошу помощи.
      Virus.rar
    • От deklan
      Добрый день! В одно прекрасное утро перестали открываться файлы общего доступа на сервере. Подключившись к серверу увидел, что все файлы зашифрованы и в каждой папке есть файл "how_to_decrypt.hta" После сканирования диска "С" утилитой Kaspersky Virus Removal Tool было выявлено 3 вируса (скрин во вложении) Помогите дешифровать файлы, если это возможно. Хотелось бы еще узнать, каким образом он мог туда попасть?
      логи и файлы.rar
×
×
  • Создать...