Размещено 28.01.2020 11:46:25
Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо.
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы в Cryakl CS 1.*.* , Filecoder.EQ/Encoder.567/Cryakl
Размещено 28.01.2020 14:00:16
| Цитата |
|---|
| Роман Литвинюк написал: Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо. |
судя по образу автозапуска у вас произошло шифрование Crysis (вариант с расширением .bot)
C:\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-84280463.[[email protected]].BOT
характерная для него записка о выкупе:
C:\USERS\BOSS\APPDATA\ROAMING\INFO.HTA
с расшифровкой файлов не поможем, нет расшифровки по текущим версиям Crysis,
восстановление документов возможно только из архивных копий.
-------------
+
обратите внимание на рекомендации по защите ваших серверов,
и примите меры защиты,
иначе,
шифрование может повториться в скором времени.
Размещено 28.01.2020 15:07:08
| Цитата | ||
|---|---|---|
santy написал:
судя по образу автозапуска у вас произошло шифрование Crysis (вариант с расширением .bot) C:\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-84280463.[].BOT характерная для него записка о выкупе: C:\USERS\BOSS\APPDATA\ROAMING\INFO.HTA с расшифровкой файлов не поможем, нет расшифровки по текущим версиям Crysis, восстановление документов возможно только из архивных копий. ------------- + обратите внимание на рекомендации по защите ваших серверов, и примите меры защиты, иначе, шифрование может повториться в скором времени. |
Размещено 28.01.2020 15:30:04
| Цитата |
|---|
| Роман Литвинюк написал: Да, а после этого Cryakl наведался, и зашифровал БД 1С. Там новая версия 1.8 его как я почитал, расшифровки нет. Но вы посмотрите пожалуйста, есть ли его следы ещё. |
23.01.2020 в 15:04:05
судя по образу, у вас от антивирусов остались только рожки, да ножки, или вообще сервер был без антивирусной защиты?
кроме того, на сервер добавлены инструменты взлома
C:\USERS\GLAVBUH\MUSIC\NS.EXE
a variant of Win32/NetTool.Agent.NAH potentially unsafe
Application.Hacktool.Scanner.I
Tool.Ipscan.5
так что вы еще и рискуете тем, что с вашего сервера (айпишника) выполняется поиск уязвимых серверов в сети (возможно что и по внутренней сети было выполнено сканирование)
сделайте еще проверку в FRST
+
добавьте несколько зашифрованных файлов версией CS 1.8
+
не рекомендуем вам использовать подобных программ для защиты ваших данных
TNod User & Password Finder
(сэкономите на лицензии 1000 руб, зато вероятность потерять ваши рабочие документы резко возрастает, без возможности восстановления,
или за выкуп ключей в размере десятков тысяч рублей)
Размещено 28.01.2020 15:51:33
Антивирусы были, но от них ничего не осталось.
Вот ссылка на архив, там результаты сканирования и 2 файла, зашифрованные вирусом.
TNOD остался со старых времён, давно им не пользуемся.
Вот ссылка на архив, там результаты сканирования и 2 файла, зашифрованные вирусом.
TNOD остался со старых времён, давно им не пользуемся.
Изменено: Роман Литвинюк - 28.01.2020 19:19:50
Размещено 28.01.2020 16:22:53
| Цитата |
|---|
| Роман Литвинюк написал: Вот ссылка на архив, там результаты сканирования и 2 файла, зашифрованные вирусом. |
это Crykl CS 1.8 пока что без расшифровки, как и предыдущая версия CS 1.7.0.1
логи сейчас посмотрю что там есть
да, первого звоночка видимо было недостаточно, и следом за Crysis пришел Крякл
2020-01-27 19:08 - 2019-12-20 21:37 - 000001392 ___SH C:\Program Files (x86)\desktop.ini.id-84280463.[[email protected]].bot[[email protected]][2217215075-1580151445].xgl
хвосты от Крякла конечно остались, куча зашифрованных файлов, записки о выкупе readme.txt, задачи, которые удаляют теневые копии, бэкапы.
| Цитата |
|---|
| 2020-01-27 18:33 - 2020-01-27 18:58 - 000003198 _____ C:\Windows\system32\Tasks\BCBoot 2020-01-27 18:33 - 2020-01-27 18:58 - 000003166 _____ C:\Windows\system32\Tasks\BCRecover 2020-01-27 18:33 - 2020-01-27 18:58 - 000003128 _____ C:\Windows\system32\Tasks\WMICRestore 2020-01-27 18:33 - 2020-01-27 18:57 - 000003158 _____ C:\Windows\system32\Tasks\WBadminBackupRestore 2020-01-27 18:32 - 2020-01-27 18:57 - 000003180 _____ C:\Windows\system32\Tasks\WBadminSystemRestore 2020-01-27 18:32 - 2020-01-27 18:57 - 000003154 _____ C:\Windows\system32\Tasks\VssDataRestore Task: {138DE609-1E84-4F19-94E0-46FA33D03A6D} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No] Task: {24FE9514-F3BF-47EE-BC95-AA2BEE4A4587} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures] Task: {279E7326-25DA-46A1-AA87-A8E32329E4B8} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet] Task: {4F9115A0-7CE5-42A7-8593-8243B49DC20C} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE Task: {5C9CC352-7B77-4C3F-9076-F46BBCB35788} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0] Task: {DF230852-2D6B-44CA-998F-2B3C881FFC23} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0] |
много пользователей в системе с правами администраторов.
Buh (S-1-5-21-436013990-1443120828-3181057592-1008 - Administrator - Enabled) => C:\Users\Buh
Glavbuh (S-1-5-21-436013990-1443120828-3181057592-1003 - Administrator - Enabled) => C:\Users\Glavbuh
Размещено 28.01.2020 17:05:37
Это в ручную удалять всё?? Да после первого звоночка всё проверял антивирусами, вчера гонял. А тут только вот сегодня вычитал, что они через RDP проникают. И вот тут я всё понял. (:
Размещено 28.01.2020 17:12:49
| Цитата |
|---|
| Роман Литвинюк написал: Это в ручную удалять всё?? Да после первого звоночка всё проверял антивирусами, вчера гонял. А тут только вот сегодня вычитал, что они через RDP проникают. И вот тут я всё понял. (: |
в данном случае для удаления теневых копий, и бэкапов используются системные файлы, поэтому антивирусы их не станут удалять.
ну остается только порадоваться что не так зашифровали.
| Цитата |
|---|
| Наша сеть была поражена на прошлой неделе вариантом Ransomeware, которого я никогда раньше не видел. Этот вымогатель путешествовал по всей нашей сети, блокируя тонну рабочих станций и серверов. Это включает контроллеры домена (оба), файловые серверы, серверы входящих факсов, серверы программного обеспечения и т. Д. Ransomeware не позволяет загружаться в Windows и не оставляет заметки в htmls и .txt, как традиционные Ransomeware. Единственное замечание, которое остается, при попытке загрузки, и вместо окон вы получаете командную строку, уведомляющую вас о полном шифровании диска! Свяжитесь с [email protected] и введите пароль: поле ниже. |
Размещено 28.01.2020 17:17:51
Права всем позакрывал, пароли поменял, остались только у админа права. У остальных пользователей были лёгкие пароли, отсюда и взлом. Сегодня написал злоумышленникам, посмотрим сколько денег запросят. У нас фирма не большая, денег особо нет, чтобы им платить. Плюс отправили файлы в контору, которая занимается расшифровкой, но что-то мне подсказывает, что и они не разберутся. 
Размещено 28.01.2020 17:21:20
+ это выполнить:
тем более, что 2008 R2 более не поддерживается.
1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------
по очистке системы,
если нужна помощь, обращайтесь на другой форум.
на оф. сайте мы не оказываем помощь тем пользователям, кто использует TNOD
тем более, что 2008 R2 более не поддерживается.
1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------
по очистке системы,
если нужна помощь, обращайтесь на другой форум.
на оф. сайте мы не оказываем помощь тем пользователям, кто использует TNOD
Читают тему