crysis Шифровальщик lsas [sekurlsa@ml1.net].lsas

[Михаил-СП]

Добрый день. 

Не нашел похожего описания, делюсь ->

 

В одной из контор случился инцидент -поймали шифровальщика. Все файлы, кроме EXE, стали иметь вид ИМЯ-ФАЙЛА.[sekurlsa@ml1.net].lsas . Вирус представлял из себя процесс в Backup32.exe (или что-то похожее) в папке System32. Все компы были на Win7 (или ХР) с не обновляемым два или три года DrWeb-ом. Бардак в сети был полный -открытые наружу РДП порты с каждой второй машины, полные права у пользователей (многие админы домена), простые пароли (реально были "123456" на доменных админах), отсутствие политик по блокировке учеток и т.д. Попала зараза в сеть скорее всего из-за подбора пароля по РДП, потому что на самых пострадавших машинах появилась учетка, которая имела права админа домена и простой пароль.  Не исключен вариант трояна (нашли почти на всех машинах, даже не пострадавших), через которые вбросили вирус.

Вирус распространялся по сети, шифровал не только файлы в расшаренных папках, но и на компьютерах/серверах в других папках, на которые у пользователя были права. Шифровались не только документы а почти все файлы, даже некоторые исполняемые, msi и т.д. . Несколько компов после лечения вируса и перезагрузки не загрузились. Некоторые программы перестали работать. Досталось даже ярлыкам.

 

Свежие утилиты от Kaspersky, Eset, DrWeb вирус находили без проблем.

 

Большинство файлов восстановили из резервной копии, которая уходила на другую площадку. Часть (на рабочих столах пользователей) пропала. 

 

Есть вопрос к уважаемому сообществу -имеем кучу зашифрованных файлов и такую же кучу их "исходников" до шифра. Реально ли создать дешифратор? У самих мозгов не хватает, может кто поможет? Было бы полезно всем пострадавшим от этого вируса.

Спасибо.

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

Хотя бы только образцы зашифрованных и записку прикрепите для определения типа вымогателя.

[Михаил-СП]

Извиняюсь. Требование только в таком виде есть.

Virus.zip

[Sandor]

Увы, расшифровки этой версии вымогателя нет. И "пара файлов" тут никак не поможет.

[Михаил-СП]

Понял, спасибо. Основные файлы спасли из резервной копии. Групповые политики домена взяли с другого контроллера на другой площадке. Зверская штука -шифрует все файлы, даже не документы....

[Sandor]

На ПК можете сделать проверку с помощью SecurityCheck by glax24 & Severnyj.

 

На серверах - с помощью такого скрипта:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.