Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ответы

@Сергей,
по очистке системы в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %Sys32%\1DVBG7_PAYLOAD.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\PETROV.D\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\CONSOLE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\PROTSENKO.S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCBEC.EXE
delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCRQK.EXE
delall %SystemDrive%\USERS\PROTSENKO.S\DESKTOP\1DVBG7_PAYLOAD.EXE
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
судя по дате, логи FRST вы сделали ранее, 10.05.2020, там картина была немного другая чем в позднем образе автозапуска от 11.05.2020
(с активным процессом шифратора)

Цитата
() [File not signed] C:\Users\test\Music\1DVBG7_payload.exe
() [File not signed] C:\Users\test\Music\NetworkShare v.2.exe <2>
HKLM\...\Run: [1DVBG7_payload.exe] => C:\Windows\System32\1DVBG7_payload.exe [94720 2020-05-10] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-05-11] () [File not signed]
HKLM\...\Run: [C:\Users\test\AppData\Roaming\Info.hta] => C:\Users\test\AppData\Roaming\Info.hta [13918 2020-05-11] () [File not signed]
HKLM-x32\...\Run: [1650670] => 1650670
HKLM-x32\...\Run: [525965] => 525965
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1DVBG7_payload.exe [2020-05-10] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-11] () [File not signed]
2020-05-10 23:30 - 2020-05-10 23:30 - 000094720 _____ C:\Windows\system32\1DVBG7_payload.exe
2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Windows\system32\Info.hta
2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Users\test\AppData\Roaming\Info.hta
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\test\Desktop\FILES ENCRYPTED.txt
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\FILES ENCRYPTED.txt

этот файлик C:\Users\test\Music\NetworkShare v.2.exe, если сохранился, вышлите в архиве с паролем infected в почту safety@chklst.ru
скорее всего, была взломана учетная запись (или создана новая) test.
все пароли по учетным записям необходимо сменить, и установить сложные пароли.
возможна повторная атака.
+
обратите внимание, то ваш сервер не только подвергся шифрованию, но и с вашего сервера была выполнена атака на другие сетевые ресурсы,
и скорее всего во внешней сети.
https://www.virustotal.com/gui/file/f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31­b860e569a720a5446/detection

Примите все меры безопасности к системе, которые указаны в данной теме.

Восстановление документов возможно только из архивов, без расшифровки, выкупать ключ расшифровки у зоумышленников не рекомендуем. Только потеряете еще и деньги, кроме документов.

так же обратите внимание, что у вас все учетные записи на сервере с правами администраторов и все активны.

Скрытый текст

удалите левые учетные записи, если они здесь есть,
права администратора оставьте только для действующей учетной записи администратора.

Update:
все таки логи FRST от 11.05.2020
Ran by protsenko.s (administrator) on SRV-DC (HPE ProLiant DL360 Gen10) (11-05-2020 08:37:25)
Файл выслал. Логи FRST делал сегодня утром.

Итак, скрипт в uVS выполнил, файл выслал на почту, с учетками разобрался.


Что-то еще, кроме рекомендаций из шапки, делать необходимо в моем случае?
Цитата
Сергей Проценко написал:
Что-то еще, кроме рекомендаций из шапки, делать необходимо в моем случае?
+

1.Рекомендации:

Цитата
1. Убедитесь, что установлены последние обновления безопасности. Используйте управление угрозами и уязвимостями для регулярного аудита на наличие уязвимостей, неправильной конфигурации и подозрительных действий.

2. включите аутентификацию на уровне сети (NLA).
3. Соблюдайте принцип наименьших привилегий. Избегайте использования учетных записей служб на уровне домена. Применяйте надежные случайные, своевременные пароли локальных администраторов.
4. Мониторинг использования brute forces. Проверьте чрезмерные неудачные попытки аутентификации (идентификатор события безопасности Windows 4625).
5. Мониторинг очистки журналов событий, особенно журналов событий безопасности и операционных журналов PowerShell.
6. Включите функции защиты от несанкционированного доступа, чтобы злоумышленники не могли остановить службы безопасности.
7. Определите, где учетные записи с высоким уровнем привилегий входят в систему и предоставляют учетные данные. Мониторинг и расследование событий входа (идентификатор события 4624) для атрибутов типа входа. Учетные записи администратора домена и другие учетные записи с высокими привилегиями не должны присутствовать на рабочих станциях.
8. Включите правила уменьшения поверхности атаки, включая правила, которые блокируют кражу учетных данных, действия вымогателей и подозрительное использование PsExec и WMI. Чтобы противодействовать вредоносным действиям, инициируемым с помощью документов Office используйте правила, которые блокируют расширенные действия макросов, исполняемый контент, создание процессов и внедрение процессов, инициированные приложениями Office. Чтобы оценить влияние этих правил, разверните их в режиме аудита.
Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так  - .id-2C86099A.[manyfiles@aol.com].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?
Цитата
Федор Попов написал:
Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так  - .id-2C86099A.[ manyfiles@aol.com ].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?
добавьте образ автозапуска системы, возможно файлы шифратора еще активны в системе
Цитата
santy написал:
Цитата
 Федор Попов  написал:
Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так  - .id-2C86099A.[  manyfiles@aol.com  ].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?
добавьте образ автозапуска системы, возможно файлы шифратора еще активны в системе
@Федор,
по очистке сервера выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

del %SystemDrive%\DOCUMENTS AND SETTINGS\POPOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\DENIS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT.SERVAK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID]
delref {9BFBA68E-E21B-458E-AE12-FE85E903D2C0}\[CLSID]
delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]
delref {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT\APPLICATION DATA\SEARCHMETOOLBAR\SEARCHMETOOLBAR.EXE
apply

; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} /quiet

; Java(TM) 6 Update 3
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet

; Java(TM) 6 Update 5
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} /quiet

; Java(TM) 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet

; SearchmeToolbar
exec MsiExec.exe /X{34B8FD13-83CB-44E0-86AD-EE4F67B6F661} /quiet

deltmp
QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
+
сделайте логи проверки в FRST
http://forum.esetnod32.ru/forum9/topic2798/

===
по расшифровки нет решения, восстановление документов возможно только из бэкапов.
такое впечатление, что после скрипта ничего не поменялось
или и не должно было?)
логи прикладываю
Цитата
ALBERT (S-1-5-21-1971080112-2604595418-3332625347-1031 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ALBERT.SERVAK
denis (S-1-5-21-1971080112-2604595418-3332625347-1032 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\denis
POPOV (S-1-5-21-1971080112-2604595418-3332625347-1015 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\POPOV
ROMAN (S-1-5-21-1971080112-2604595418-3332625347-1043 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ROMAN
Администратор (S-1-5-21-1971080112-2604595418-3332625347-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Администратор
много учетных записей с правами администраторов.
Пароли надо менять на сложные, в противном случае взлом может повториться через некоторое время.
+
выполните все рекомендации:

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------
Читают тему (гостей: 2)