ESET CONNECT

нет времени вести беспредметные разговоры.
нет логов - тема закрыта.

Роман Лёпа,

[QUOTE]Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/[/QUOTE]

[QUOTE]Андрей Иванов написал:
Добрый день!
Несколько лет назад попал на этот вирус. С тех пор храню зашифрованные файлы на отдельном носителе.
Подскажите, пожалуйста, не появилась ли возможность расшифровать? Файлы во вложении.
Заранее благодарю![/QUOTE]
да, расшифровка возможна, напишите в почту safety@chklst.ru

[QUOTE]Сергей Проценко написал:
Что-то еще, кроме рекомендаций из шапки, делать необходимо в моем случае?[/QUOTE]
+

1.Рекомендации:

[QUOTE]1. Убедитесь, что установлены последние обновления безопасности. Используйте управление угрозами и уязвимостями для регулярного аудита на наличие уязвимостей, неправильной конфигурации и подозрительных действий.

2. включите аутентификацию на уровне сети (NLA).
3. Соблюдайте принцип наименьших привилегий. Избегайте использования учетных записей служб на уровне домена. Применяйте надежные случайные, своевременные пароли локальных администраторов.
4. Мониторинг использования brute forces. Проверьте чрезмерные неудачные попытки аутентификации (идентификатор события безопасности Windows 4625).
5. Мониторинг очистки журналов событий, особенно журналов событий безопасности и операционных журналов PowerShell.
6. Включите функции защиты от несанкционированного доступа, чтобы злоумышленники не могли остановить службы безопасности.
7. Определите, где учетные записи с высоким уровнем привилегий входят в систему и предоставляют учетные данные. Мониторинг и расследование событий входа (идентификатор события 4624) для атрибутов типа входа. Учетные записи администратора домена и другие учетные записи с высокими привилегиями не должны присутствовать на рабочих станциях.
8. Включите правила уменьшения поверхности атаки, включая правила, которые блокируют кражу учетных данных, действия вымогателей и подозрительное использование PsExec и WMI. Чтобы противодействовать вредоносным действиям, инициируемым с помощью документов Office используйте правила, которые блокируют расширенные действия макросов, исполняемый контент, создание процессов и внедрение процессов, инициированные приложениями Office. Чтобы оценить влияние этих правил, разверните их в режиме аудита.[/QUOTE]

Тип шифратора пока не определен,
при наличие лицензии на продукт ESET напишите в техническую поддержку support@esetnod32.ru

судя по дате, логи FRST вы сделали ранее, 10.05.2020, там картина была немного другая чем в позднем образе автозапуска от 11.05.2020
(с активным процессом шифратора)

[QUOTE]() [File not signed] C:\Users\test\Music\1DVBG7_payload.exe
() [File not signed] C:\Users\test\Music\NetworkShare v.2.exe <2>
HKLM\...\Run: [1DVBG7_payload.exe] => C:\Windows\System32\1DVBG7_payload.exe [94720 2020-05-10] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-05-11] () [File not signed]
HKLM\...\Run: [C:\Users\test\AppData\Roaming\Info.hta] => C:\Users\test\AppData\Roaming\Info.hta [13918 2020-05-11] () [File not signed]
HKLM-x32\...\Run: [1650670] => 1650670
HKLM-x32\...\Run: [525965] => 525965
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1DVBG7_payload.exe [2020-05-10] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-11] () [File not signed]
2020-05-10 23:30 - 2020-05-10 23:30 - 000094720 _____ C:\Windows\system32\1DVBG7_payload.exe
2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Windows\system32\Info.hta
2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Users\test\AppData\Roaming\Info.hta
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\test\Desktop\FILES ENCRYPTED.txt
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\FILES ENCRYPTED.txt[/QUOTE]

этот файлик C:\Users\test\Music\NetworkShare v.2.exe, если сохранился, вышлите в архиве с паролем infected в почту safety@chklst.ru
скорее всего, была взломана учетная запись (или создана новая) test.
все пароли по учетным записям необходимо сменить, и установить сложные пароли.
возможна повторная атака.
+
обратите внимание, то ваш сервер не только подвергся шифрованию, но и с вашего сервера была выполнена атака на другие сетевые ресурсы,
и скорее всего во внешней сети.
https://www.virustotal.com/gui/file/f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31­b860e569a720a5446/detection

[B]Примите все меры безопасности к системе, которые указаны в данной теме.
[/B]
Восстановление документов возможно только из архивов, без расшифровки, выкупать ключ расшифровки у зоумышленников не рекомендуем. Только потеряете еще и деньги, кроме документов.
[B]
так же обратите внимание, что у вас все учетные записи на сервере с правами администраторов и все активны.[/B]

Скрытый текст

Администратор (S-1-5-21-165322250-2735553744-3456952923-500 - Administrator - Enabled) Гость (S-1-5-21-165322250-2735553744-3456952923-501 - Limited - Disabled) protsenko.s (S-1-5-21-827046529-3008914153-708560777-1104 - Administrator - Enabled) => C:\Users\protsenko.s console (S-1-5-21-827046529-3008914153-708560777-1111 - Administrator - Enabled) => C:\Users\Console Admin (S-1-5-21-827046529-3008914153-708560777-1112 - Administrator - Enabled) => C:\Users\Admin test (S-1-5-21-827046529-3008914153-708560777-1193 - Administrator - Enabled) => C:\Users\test adm (S-1-5-21-827046529-3008914153-708560777-1268 - Administrator - Enabled) => C:\Users\adm petrov.d (S-1-5-21-827046529-3008914153-708560777-1280 - Administrator - Enabled) => C:\Users\petrov.d

удалите левые учетные записи, если они здесь есть,
права администратора оставьте только для действующей учетной записи администратора.

Update:
все таки логи FRST от 11.05.2020
Ran by protsenko.s (administrator) on SRV-DC (HPE ProLiant DL360 Gen10) [B](11-05-2020 08:37:25)[/B]

@Сергей,
по очистке системы в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %Sys32%\1DVBG7_PAYLOAD.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\PETROV.D\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\CONSOLE\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\PROTSENKO.S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCBEC.EXE
delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCRQK.EXE
delall %SystemDrive%\USERS\PROTSENKO.S\DESKTOP\1DVBG7_PAYLOAD.EXE
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------

[QUOTE]Антон Ждахин написал:
Поймали шифровальщик. Атрибут файлов теперь такого вида !Ecryptedd[/QUOTE]
Антон,
сделайте образ автозапуска + логи FRST
+
добавьте несколько зашифрованных файлов в архиве+ записку о выкупе, если есть такая

[QUOTE]Rahimjon Sobirjonov написал:
Новый проблемы не была но файлы не расшифрован  что делать[/QUOTE]
по расшифровке файлов, при наличие лицензии на продукт ESET напишите  в support@esetnod32.ru

Дмитрий Субботин написал:
[QUOTE]спасибо,всё сделал, файл вируса (тело) находится на карантине, но его невозможно
скопировать, упаковать, что бы отправить в eset 32 .[/QUOTE]
вы можете восстановить его из карантина в другое место с изменением расширения файла, например vexe, v1e и т.д,
заархивировать файл с паролем infected, и далее уже отправить в support@esetnod32.ru вместе с архивом зашифрованных файлов