файлы зашифрованы в Cryakl CS 1.*.* , Filecoder.EQ/Encoder.567/Cryakl

Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо. https://www.sendspace.com/file/eo6da7

Цитата
Роман Литвинюк написал: Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо.  https://www.sendspace.com/file/eo6da7

@Роман Литвинюк,
судя по образу автозапуска у вас произошло шифрование Crysis (вариант с расширением .bot)
C:\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-84280463.[[email protected]].BOT
характерная для него записка о выкупе:
C:\USERS\BOSS\APPDATA\ROAMING\INFO.HTA
с расшифровкой файлов не поможем, нет расшифровки по текущим версиям Crysis,
восстановление документов возможно только из архивных копий.
-------------
+
обратите внимание на рекомендации по защите ваших серверов,
и примите меры защиты,
иначе,
шифрование может повториться в скором времени.

Цитата

santy написал: Цитата  Роман Литвинюк  написал: Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо.   https://www.sendspace.com/file/eo6da7   @Роман Литвинюк, судя по образу автозапуска у вас произошло шифрование Crysis (вариант с расширением .bot) C:\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-84280463.[[email protected]].BOT характерная для него записка о выкупе: C:\USERS\BOSS\APPDATA\ROAMING\INFO.HTA с расшифровкой файлов не поможем, нет расшифровки по текущим версиям Crysis, восстановление документов возможно только из архивных копий. ------------- + обратите внимание на рекомендации по защите ваших серверов, и примите меры защиты, иначе, шифрование может повториться в скором времени.

Да, а после этого Cryakl наведался, и зашифровал БД 1С. Там новая версия 1.8 его как я почитал, расшифровки нет. Но вы посмотрите пожалуйста, есть ли его следы ещё.

Цитата
Роман Литвинюк написал: Да, а после этого Cryakl наведался, и зашифровал БД 1С. Там новая версия 1.8 его как я почитал, расшифровки нет. Но вы посмотрите пожалуйста, есть ли его следы ещё.

Crysis у вас побывал на сервере совсем недавно.
23.01.2020 в 15:04:05

судя по образу, у вас от антивирусов остались только рожки, да ножки, или вообще сервер был без антивирусной защиты?
кроме того, на сервер добавлены инструменты взлома
C:\USERS\GLAVBUH\MUSIC\NS.EXE
a variant of Win32/NetTool.Agent.NAH potentially unsafe
Application.Hacktool.Scanner.I
Tool.Ipscan.5
так что вы еще и рискуете тем, что с вашего сервера (айпишника) выполняется поиск уязвимых серверов в сети (возможно что и по внутренней сети было выполнено сканирование)
сделайте еще проверку в FRST
https://forum.esetnod32.ru/forum9/topic2798/
+
добавьте несколько зашифрованных файлов версией CS 1.8
+
не рекомендуем вам использовать подобных программ для защиты ваших данных
TNod User & Password Finder
(сэкономите на лицензии 1000 руб, зато вероятность потерять ваши рабочие документы резко возрастает, без возможности восстановления,
или за выкуп ключей в размере десятков тысяч рублей)

Антивирусы были, но от них ничего не осталось.
Вот ссылка на архив, там результаты сканирования и 2 файла, зашифрованные вирусом.
https://www.sendspace.com/file/1v2ndn
TNOD остался со старых времён, давно им не пользуемся.

Цитата
Роман Литвинюк написал: Вот ссылка на архив, там результаты сканирования и 2 файла, зашифрованные вирусом. https://www.sendspace.com/file/1v2ndn

да, судя по маркеру в защифрованном файле {CS 1.8.0.0}
это Crykl CS 1.8 пока что без расшифровки, как и предыдущая версия CS 1.7.0.1
логи сейчас посмотрю что там есть
да, первого звоночка видимо было недостаточно, и следом за Crysis пришел Крякл
2020-01-27 19:08 - 2019-12-20 21:37 - 000001392 ___SH C:\Program Files (x86)\desktop.ini.id-84280463.[[email protected]].bot[[email protected]][2217215075-1580151445].xgl

хвосты от Крякла конечно остались, куча зашифрованных файлов, записки о выкупе readme.txt, задачи, которые удаляют теневые копии, бэкапы.

Цитата

2020-01-27 18:33 - 2020-01-27 18:58 - 000003198 _____ C:\Windows\system32\Tasks\BCBoot 2020-01-27 18:33 - 2020-01-27 18:58 - 000003166 _____ C:\Windows\system32\Tasks\BCRecover 2020-01-27 18:33 - 2020-01-27 18:58 - 000003128 _____ C:\Windows\system32\Tasks\WMICRestore 2020-01-27 18:33 - 2020-01-27 18:57 - 000003158 _____ C:\Windows\system32\Tasks\WBadminBackupRestore 2020-01-27 18:32 - 2020-01-27 18:57 - 000003180 _____ C:\Windows\system32\Tasks\WBadminSystemRestore 2020-01-27 18:32 - 2020-01-27 18:57 - 000003154 _____ C:\Windows\system32\Tasks\VssDataRestore Task: {138DE609-1E84-4F19-94E0-46FA33D03A6D} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No] Task: {24FE9514-F3BF-47EE-BC95-AA2BEE4A4587} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures] Task: {279E7326-25DA-46A1-AA87-A8E32329E4B8} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet] Task: {4F9115A0-7CE5-42A7-8593-8243B49DC20C} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE Task: {5C9CC352-7B77-4C3F-9076-F46BBCB35788} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0] Task: {DF230852-2D6B-44CA-998F-2B3C881FFC23} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]

+
много пользователей в системе с правами администраторов.
Buh (S-1-5-21-436013990-1443120828-3181057592-1008 - Administrator - Enabled) => C:\Users\Buh
Glavbuh (S-1-5-21-436013990-1443120828-3181057592-1003 - Administrator - Enabled) => C:\Users\Glavbuh

Это в ручную удалять всё?? Да после первого звоночка всё проверял антивирусами, вчера гонял. А тут только вот сегодня вычитал, что они через RDP проникают. И вот тут я всё понял. (:

Цитата
Роман Литвинюк написал: Это в ручную удалять всё?? Да после первого звоночка всё проверял антивирусами, вчера гонял. А тут только вот сегодня вычитал, что они через RDP проникают. И вот тут я всё понял. (:

в данном случае для удаления теневых копий, и бэкапов используются системные файлы, поэтому антивирусы их не станут удалять.


ну остается только порадоваться что не так зашифровали.

Цитата

Наша сеть была поражена на прошлой неделе вариантом Ransomeware, которого я никогда раньше не видел. Этот вымогатель путешествовал по всей нашей сети, блокируя тонну рабочих станций и серверов. Это включает контроллеры домена (оба), файловые серверы, серверы входящих факсов, серверы программного обеспечения и т. Д. Ransomeware не позволяет загружаться в Windows и не оставляет заметки в htmls и .txt, как традиционные Ransomeware. Единственное замечание, которое остается, при попытке загрузки, и вместо окон вы получаете командную строку, уведомляющую вас о полном шифровании диска! Свяжитесь с [email protected] и введите пароль: поле ниже.

Права всем позакрывал, пароли поменял, остались только у админа права. У остальных пользователей были лёгкие пароли, отсюда и взлом. Сегодня написал злоумышленникам, посмотрим сколько денег запросят. У нас фирма не большая, денег особо нет, чтобы им платить. Плюс отправили файлы в контору, которая занимается расшифровкой, но что-то мне подсказывает, что и они не разберутся.

+ это выполнить:
тем более, что 2008 R2 более не поддерживается.

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------
по очистке системы,
если нужна помощь, обращайтесь на другой форум.
на оф. сайте мы не оказываем помощь тем пользователям, кто использует TNOD