Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2019 12:20:40

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

Цитата

.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 4 5 6 7 8 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.05.2020 16:51:13

@Сергей,
по очистке системы в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.9 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %Sys32%\1DVBG7_PAYLOAD.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\PETROV.D\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\CONSOLE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\PROTSENKO.S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCBEC.EXE delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCRQK.EXE delall %SystemDrive%\USERS\PROTSENKO.S\DESKTOP\1DVBG7_PAYLOAD.EXE apply QUIT

Код


;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %Sys32%\1DVBG7_PAYLOAD.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\PETROV.D\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\CONSOLE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\PROTSENKO.S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCBEC.EXE
delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCRQK.EXE
delall %SystemDrive%\USERS\PROTSENKO.S\DESKTOP\1DVBG7_PAYLOAD.EXE
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.05.2020 17:08:53

судя по дате, логи FRST вы сделали ранее, 10.05.2020, там картина была немного другая чем в позднем образе автозапуска от 11.05.2020
(с активным процессом шифратора)

Цитата
() [File not signed] C:\Users\test\Music\1DVBG7_payload.exe () [File not signed] C:\Users\test\Music\NetworkShare v.2.exe <2> HKLM\...\Run: [1DVBG7_payload.exe] => C:\Windows\System32\1DVBG7_payload.exe [94720 2020-05-10] () [File not signed] HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-05-11] () [File not signed] HKLM\...\Run: [C:\Users\test\AppData\Roaming\Info.hta] => C:\Users\test\AppData\Roaming\Info.hta [13918 2020-05-11] () [File not signed] HKLM-x32\...\Run: [1650670] => 1650670 HKLM-x32\...\Run: [525965] => 525965 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1DVBG7_payload.exe [2020-05-10] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-11] () [File not signed] 2020-05-10 23:30 - 2020-05-10 23:30 - 000094720 _____ C:\Windows\system32\1DVBG7_payload.exe 2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Windows\system32\Info.hta 2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Users\test\AppData\Roaming\Info.hta 2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\test\Desktop\FILES ENCRYPTED.txt 2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\FILES ENCRYPTED.txt

Цитата

() [File not signed] C:\Users\test\Music\1DVBG7_payload.exe
() [File not signed] C:\Users\test\Music\NetworkShare v.2.exe <2>
HKLM\...\Run: [1DVBG7_payload.exe] => C:\Windows\System32\1DVBG7_payload.exe [94720 2020-05-10] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-05-11] () [File not signed]
HKLM\...\Run: [C:\Users\test\AppData\Roaming\Info.hta] => C:\Users\test\AppData\Roaming\Info.hta [13918 2020-05-11] () [File not signed]
HKLM-x32\...\Run: [1650670] => 1650670
HKLM-x32\...\Run: [525965] => 525965
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1DVBG7_payload.exe [2020-05-10] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-11] () [File not signed]
2020-05-10 23:30 - 2020-05-10 23:30 - 000094720 _____ C:\Windows\system32\1DVBG7_payload.exe
2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Windows\system32\Info.hta
2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Users\test\AppData\Roaming\Info.hta
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\test\Desktop\FILES ENCRYPTED.txt
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\FILES ENCRYPTED.txt

этот файлик C:\Users\test\Music\NetworkShare v.2.exe, если сохранился, вышлите в архиве с паролем infected в почту [email protected]
скорее всего, была взломана учетная запись (или создана новая) test.
все пароли по учетным записям необходимо сменить, и установить сложные пароли.
возможна повторная атака.
+
обратите внимание, то ваш сервер не только подвергся шифрованию, но и с вашего сервера была выполнена атака на другие сетевые ресурсы,
и скорее всего во внешней сети.
https://www.virustotal.com/gui/file/f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446/detection

Примите все меры безопасности к системе, которые указаны в данной теме.

Восстановление документов возможно только из архивов, без расшифровки, выкупать ключ расшифровки у зоумышленников не рекомендуем. Только потеряете еще и деньги, кроме документов.

так же обратите внимание, что у вас все учетные записи на сервере с правами администраторов и все активны.

Скрытый текст
Администратор (S-1-5-21-165322250-2735553744-3456952923-500 - Administrator - Enabled) Гость (S-1-5-21-165322250-2735553744-3456952923-501 - Limited - Disabled) protsenko.s (S-1-5-21-827046529-3008914153-708560777-1104 - Administrator - Enabled) => C:\Users\protsenko.s console (S-1-5-21-827046529-3008914153-708560777-1111 - Administrator - Enabled) => C:\Users\Console Admin (S-1-5-21-827046529-3008914153-708560777-1112 - Administrator - Enabled) => C:\Users\Admin test (S-1-5-21-827046529-3008914153-708560777-1193 - Administrator - Enabled) => C:\Users\test adm (S-1-5-21-827046529-3008914153-708560777-1268 - Administrator - Enabled) => C:\Users\adm petrov.d (S-1-5-21-827046529-3008914153-708560777-1280 - Administrator - Enabled) => C:\Users\petrov.d

Скрытый текст

удалите левые учетные записи, если они здесь есть,
права администратора оставьте только для действующей учетной записи администратора.

Update:
все таки логи FRST от 11.05.2020
Ran by protsenko.s (administrator) on SRV-DC (HPE ProLiant DL360 Gen10) (11-05-2020 08:37:25)

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 11.05.2020

Размещено 11.05.2020 17:46:29

Файл выслал. Логи FRST делал сегодня утром.

Итак, скрипт в uVS выполнил, файл выслал на почту, с учетками разобрался.

Что-то еще, кроме рекомендаций из шапки, делать необходимо в моем случае?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.05.2020 18:46:36

Цитата
Сергей Проценко написал: Что-то еще, кроме рекомендаций из шапки, делать необходимо в моем случае?

+

1.Рекомендации:

Цитата
1. Убедитесь, что установлены последние обновления безопасности. Используйте управление угрозами и уязвимостями для регулярного аудита на наличие уязвимостей, неправильной конфигурации и подозрительных действий. 2. включите аутентификацию на уровне сети (NLA). 3. Соблюдайте принцип наименьших привилегий. Избегайте использования учетных записей служб на уровне домена. Применяйте надежные случайные, своевременные пароли локальных администраторов. 4. Мониторинг использования brute forces. Проверьте чрезмерные неудачные попытки аутентификации (идентификатор события безопасности Windows 4625). 5. Мониторинг очистки журналов событий, особенно журналов событий безопасности и операционных журналов PowerShell. 6. Включите функции защиты от несанкционированного доступа, чтобы злоумышленники не могли остановить службы безопасности. 7. Определите, где учетные записи с высоким уровнем привилегий входят в систему и предоставляют учетные данные. Мониторинг и расследование событий входа (идентификатор события 4624) для атрибутов типа входа. Учетные записи администратора домена и другие учетные записи с высокими привилегиями не должны присутствовать на рабочих станциях. 8. Включите правила уменьшения поверхности атаки, включая правила, которые блокируют кражу учетных данных, действия вымогателей и подозрительное использование PsExec и WMI. Чтобы противодействовать вредоносным действиям, инициируемым с помощью документов Office используйте правила, которые блокируют расширенные действия макросов, исполняемый контент, создание процессов и внедрение процессов, инициированные приложениями Office. Чтобы оценить влияние этих правил, разверните их в режиме аудита.

Цитата

1. Убедитесь, что установлены последние обновления безопасности. Используйте управление угрозами и уязвимостями для регулярного аудита на наличие уязвимостей, неправильной конфигурации и подозрительных действий.

2. включите аутентификацию на уровне сети (NLA).
3. Соблюдайте принцип наименьших привилегий. Избегайте использования учетных записей служб на уровне домена. Применяйте надежные случайные, своевременные пароли локальных администраторов.
4. Мониторинг использования brute forces. Проверьте чрезмерные неудачные попытки аутентификации (идентификатор события безопасности Windows 4625).
5. Мониторинг очистки журналов событий, особенно журналов событий безопасности и операционных журналов PowerShell.
6. Включите функции защиты от несанкционированного доступа, чтобы злоумышленники не могли остановить службы безопасности.
7. Определите, где учетные записи с высоким уровнем привилегий входят в систему и предоставляют учетные данные. Мониторинг и расследование событий входа (идентификатор события 4624) для атрибутов типа входа. Учетные записи администратора домена и другие учетные записи с высокими привилегиями не должны присутствовать на рабочих станциях.
8. Включите правила уменьшения поверхности атаки, включая правила, которые блокируют кражу учетных данных, действия вымогателей и подозрительное использование PsExec и WMI. Чтобы противодействовать вредоносным действиям, инициируемым с помощью документов Office используйте правила, которые блокируют расширенные действия макросов, исполняемый контент, создание процессов и внедрение процессов, инициированные приложениями Office. Чтобы оценить влияние этих правил, разверните их в режиме аудита.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 22.05.2020

Размещено 22.05.2020 18:19:57

Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так - .id-2C86099A.[[email protected]].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.05.2020 18:33:41

Цитата
Федор Попов написал: Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так - .id-2C86099A.[ [email protected] ].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?

Цитата

Федор Попов написал:
Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так - .id-2C86099A.[ [email protected] ].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?

добавьте образ автозапуска системы, возможно файлы шифратора еще активны в системе

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 22.05.2020

Размещено 22.05.2020 20:23:31

Цитата

santy написал:

Цитата

добавьте образ автозапуска системы, возможно файлы шифратора еще активны в системе

Прикрепленные файлы

SERVAK_2020-05-18_20-07-30_v4.1.8.7z (368.93 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2020 13:44:20

@Федор,
по очистке сервера выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.9 [http://dsrt.dyndns.org:8888] ;Target OS: NTv5.2 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- del %SystemDrive%\DOCUMENTS AND SETTINGS\POPOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA del %SystemDrive%\DOCUMENTS AND SETTINGS\DENIS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA del %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT.SERVAK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA del %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID] delref {9BFBA68E-E21B-458E-AE12-FE85E903D2C0}\[CLSID] delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID] delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID] delref {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT\APPLICATION DATA\SEARCHMETOOLBAR\SEARCHMETOOLBAR.EXE apply ; Java(TM) 6 Update 26 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} /quiet ; Java(TM) 6 Update 3 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet ; Java(TM) 6 Update 5 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} /quiet ; Java(TM) 6 Update 7 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet ; SearchmeToolbar exec MsiExec.exe /X{34B8FD13-83CB-44E0-86AD-EE4F67B6F661} /quiet deltmp QUIT

Код


;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

del %SystemDrive%\DOCUMENTS AND SETTINGS\POPOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\DENIS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT.SERVAK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA
delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID]
delref {9BFBA68E-E21B-458E-AE12-FE85E903D2C0}\[CLSID]
delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]
delref {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT\APPLICATION DATA\SEARCHMETOOLBAR\SEARCHMETOOLBAR.EXE
apply

; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} /quiet

; Java(TM) 6 Update 3
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet

; Java(TM) 6 Update 5
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} /quiet

; Java(TM) 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet

; SearchmeToolbar
exec MsiExec.exe /X{34B8FD13-83CB-44E0-86AD-EE4F67B6F661} /quiet

deltmp
QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
+
сделайте логи проверки в FRST
http://forum.esetnod32.ru/forum9/topic2798/

===
по расшифровки нет решения, восстановление документов возможно только из бэкапов.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 22.05.2020

Размещено 23.05.2020 17:17:26

такое впечатление, что после скрипта ничего не поменялось
или и не должно было?)
логи прикладываю

Прикрепленные файлы

FRST.txt (150.56 КБ)
Addition.txt (359.52 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2020 18:11:20

Цитата
ALBERT (S-1-5-21-1971080112-2604595418-3332625347-1031 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ALBERT.SERVAK denis (S-1-5-21-1971080112-2604595418-3332625347-1032 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\denis POPOV (S-1-5-21-1971080112-2604595418-3332625347-1015 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\POPOV ROMAN (S-1-5-21-1971080112-2604595418-3332625347-1043 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ROMAN Администратор (S-1-5-21-1971080112-2604595418-3332625347-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Администратор

Цитата

ALBERT (S-1-5-21-1971080112-2604595418-3332625347-1031 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ALBERT.SERVAK
denis (S-1-5-21-1971080112-2604595418-3332625347-1032 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\denis
POPOV (S-1-5-21-1971080112-2604595418-3332625347-1015 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\POPOV
ROMAN (S-1-5-21-1971080112-2604595418-3332625347-1043 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ROMAN
Администратор (S-1-5-21-1971080112-2604595418-3332625347-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Администратор

много учетных записей с правами администраторов.
Пароли надо менять на сложные, в противном случае взлом может повториться через некоторое время.
+
выполните все рекомендации:

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------

[ Как создать образ автозапуска? ]

Пред. 1 ... 4 5 6 7 8 След.