santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы в Cryakl CS 1.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2020 17:21:20

+ это выполнить:
тем более, что 2008 R2 более не поддерживается.

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------
по очистке системы,
если нужна помощь, обращайтесь на другой форум.
на оф. сайте мы не оказываем помощь тем пользователям, кто использует TNOD

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CS 1.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2020 17:12:49

Цитата
Роман Литвинюк написал: Это в ручную удалять всё?? Да после первого звоночка всё проверял антивирусами, вчера гонял. А тут только вот сегодня вычитал, что они через RDP проникают. И вот тут я всё понял. (:

в данном случае для удаления теневых копий, и бэкапов используются системные файлы, поэтому антивирусы их не станут удалять.

ну остается только порадоваться что не так зашифровали.

Цитата
Наша сеть была поражена на прошлой неделе вариантом Ransomeware, которого я никогда раньше не видел. Этот вымогатель путешествовал по всей нашей сети, блокируя тонну рабочих станций и серверов. Это включает контроллеры домена (оба), файловые серверы, серверы входящих факсов, серверы программного обеспечения и т. Д. Ransomeware не позволяет загружаться в Windows и не оставляет заметки в htmls и .txt, как традиционные Ransomeware. Единственное замечание, которое остается, при попытке загрузки, и вместо окон вы получаете командную строку, уведомляющую вас о полном шифровании диска! Свяжитесь с [email protected] и введите пароль: поле ниже.

Цитата

Наша сеть была поражена на прошлой неделе вариантом Ransomeware, которого я никогда раньше не видел. Этот вымогатель путешествовал по всей нашей сети, блокируя тонну рабочих станций и серверов. Это включает контроллеры домена (оба), файловые серверы, серверы входящих факсов, серверы программного обеспечения и т. Д. Ransomeware не позволяет загружаться в Windows и не оставляет заметки в htmls и .txt, как традиционные Ransomeware. Единственное замечание, которое остается, при попытке загрузки, и вместо окон вы получаете командную строку, уведомляющую вас о полном шифровании диска! Свяжитесь с [email protected] и введите пароль: поле ниже.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CS 1.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2020 16:22:53

Цитата
Роман Литвинюк написал: Вот ссылка на архив, там результаты сканирования и 2 файла, зашифрованные вирусом. https://www.sendspace.com/file/1v2ndn

да, судя по маркеру в защифрованном файле {CS 1.8.0.0}
это Crykl CS 1.8 пока что без расшифровки, как и предыдущая версия CS 1.7.0.1
логи сейчас посмотрю что там есть
да, первого звоночка видимо было недостаточно, и следом за Crysis пришел Крякл
2020-01-27 19:08 - 2019-12-20 21:37 - 000001392 ___SH C:\Program Files (x86)\desktop.ini.id-84280463.[[email protected]].bot[[email protected]][2217215075-1580151445].xgl

хвосты от Крякла конечно остались, куча зашифрованных файлов, записки о выкупе readme.txt, задачи, которые удаляют теневые копии, бэкапы.

Цитата
2020-01-27 18:33 - 2020-01-27 18:58 - 000003198 _____ C:\Windows\system32\Tasks\BCBoot 2020-01-27 18:33 - 2020-01-27 18:58 - 000003166 _____ C:\Windows\system32\Tasks\BCRecover 2020-01-27 18:33 - 2020-01-27 18:58 - 000003128 _____ C:\Windows\system32\Tasks\WMICRestore 2020-01-27 18:33 - 2020-01-27 18:57 - 000003158 _____ C:\Windows\system32\Tasks\WBadminBackupRestore 2020-01-27 18:32 - 2020-01-27 18:57 - 000003180 _____ C:\Windows\system32\Tasks\WBadminSystemRestore 2020-01-27 18:32 - 2020-01-27 18:57 - 000003154 _____ C:\Windows\system32\Tasks\VssDataRestore Task: {138DE609-1E84-4F19-94E0-46FA33D03A6D} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No] Task: {24FE9514-F3BF-47EE-BC95-AA2BEE4A4587} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures] Task: {279E7326-25DA-46A1-AA87-A8E32329E4B8} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet] Task: {4F9115A0-7CE5-42A7-8593-8243B49DC20C} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE Task: {5C9CC352-7B77-4C3F-9076-F46BBCB35788} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0] Task: {DF230852-2D6B-44CA-998F-2B3C881FFC23} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]

Цитата

2020-01-27 18:33 - 2020-01-27 18:58 - 000003198 _____ C:\Windows\system32\Tasks\BCBoot
2020-01-27 18:33 - 2020-01-27 18:58 - 000003166 _____ C:\Windows\system32\Tasks\BCRecover
2020-01-27 18:33 - 2020-01-27 18:58 - 000003128 _____ C:\Windows\system32\Tasks\WMICRestore
2020-01-27 18:33 - 2020-01-27 18:57 - 000003158 _____ C:\Windows\system32\Tasks\WBadminBackupRestore
2020-01-27 18:32 - 2020-01-27 18:57 - 000003180 _____ C:\Windows\system32\Tasks\WBadminSystemRestore
2020-01-27 18:32 - 2020-01-27 18:57 - 000003154 _____ C:\Windows\system32\Tasks\VssDataRestore

Task: {138DE609-1E84-4F19-94E0-46FA33D03A6D} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No]
Task: {24FE9514-F3BF-47EE-BC95-AA2BEE4A4587} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures]
Task: {279E7326-25DA-46A1-AA87-A8E32329E4B8} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Task: {4F9115A0-7CE5-42A7-8593-8243B49DC20C} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
Task: {5C9CC352-7B77-4C3F-9076-F46BBCB35788} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
Task: {DF230852-2D6B-44CA-998F-2B3C881FFC23} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]

+
много пользователей в системе с правами администраторов.
Buh (S-1-5-21-436013990-1443120828-3181057592-1008 - Administrator - Enabled) => C:\Users\Buh
Glavbuh (S-1-5-21-436013990-1443120828-3181057592-1003 - Administrator - Enabled) => C:\Users\Glavbuh

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CS 1.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2020 15:30:04

Цитата
Роман Литвинюк написал: Да, а после этого Cryakl наведался, и зашифровал БД 1С. Там новая версия 1.8 его как я почитал, расшифровки нет. Но вы посмотрите пожалуйста, есть ли его следы ещё.

Crysis у вас побывал на сервере совсем недавно.
23.01.2020 в 15:04:05

судя по образу, у вас от антивирусов остались только рожки, да ножки, или вообще сервер был без антивирусной защиты?
кроме того, на сервер добавлены инструменты взлома
C:\USERS\GLAVBUH\MUSIC\NS.EXE
a variant of Win32/NetTool.Agent.NAH potentially unsafe
Application.Hacktool.Scanner.I
Tool.Ipscan.5
так что вы еще и рискуете тем, что с вашего сервера (айпишника) выполняется поиск уязвимых серверов в сети (возможно что и по внутренней сети было выполнено сканирование)
сделайте еще проверку в FRST
https://forum.esetnod32.ru/forum9/topic2798/
+
добавьте несколько зашифрованных файлов версией CS 1.8
+
не рекомендуем вам использовать подобных программ для защиты ваших данных
TNod User & Password Finder
(сэкономите на лицензии 1000 руб, зато вероятность потерять ваши рабочие документы резко возрастает, без возможности восстановления,
или за выкуп ключей в размере десятков тысяч рублей)

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CS 1.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2020 14:00:16

Цитата
Роман Литвинюк написал: Зашифровали файлы. Нужна помощь. Образ автозапуска прилагаю. Заранее Спасибо. https://www.sendspace.com/file/eo6da7

@Роман Литвинюк,
судя по образу автозапуска у вас произошло шифрование Crysis (вариант с расширением .bot)
C:\USERS\BOSS\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-84280463.[[email protected]].BOT
характерная для него записка о выкупе:
C:\USERS\BOSS\APPDATA\ROAMING\INFO.HTA
с расшифровкой файлов не поможем, нет расшифровки по текущим версиям Crysis,
восстановление документов возможно только из архивных копий.
-------------
+
обратите внимание на рекомендации по защите ваших серверов,
и примите меры защиты,
иначе,
шифрование может повториться в скором времени.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; .kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd. MGS; RSA; .ebola; .money; .VIVAL; UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; one; .xda; .start; .asus: VIRUS, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.01.2020 15:47:30

Цитата
Vladimir Shmatkov написал: Добрый день, файлы зашифровались с расширением ".WIKI" , есть какие-либо варианты восстановления ? Или хотя бы в будущем?

добавьте образ автозапуска из зашифрованной системы, возможно в системе остались файлы шифратора.

В будущем - возможно. В будущем все возможно, в том числе и расшифровка файлов, если на то будет добрая воля злоумышленников, и они передадут приватные ключи в добрые руки вирлабов.

а пока восстановление документов (после шифрования в Crysis) возможно только из архивных копий.
+
обратите внимание на меры защиты ваших серверов от проникновения шифраторов.

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.01.2020 15:54:39

Crysis на файловых серверах запускается, как правило, после взлома учетных записей.
Возможно, злоумышленники находят способ обойти защиту антивируса перед запуском шифратора с рабочего стола.

С Вашей стороны необходимо обезопасить доступ к рабочему столу установкой в системе актуальных патчей, сложными паролями к учетным записям, политиками, которые ограничивают возможность брутфорса из внешней сети, установкой актуальных версий антивирусных программ,
разрешением доступа по RDP только для ip из белого списка, установкой 2FA и т.д.

Если вы используете версии защитных программ, в которых нет технологии защиты от Ransomware, риски шифрования ваших данных возрастают.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.01.2020 12:09:53

Цитата
i Savage написал: Сегодня тоже словили это дерьмо на сервакеO6QHIH_decrypt.exe.id-9C26D9B3.[ [email protected] ].harmaO6QHIH_payload.exe - был в загрузкеНа вирустотал определяется как A Variant Of Win32/Filecoder.Crysis.P

добавьте образ автозапуска системы, где произошло шифрование, возможно в системе остались еще файлы шифратора.

по версиям. Версия 5ndpoint уже устарела, переходите на актуальную версию 7Endpoint или 7FileSecurity для серверов.

5.x 29-May-12 5.0.2272.7 2018-05-22 Basic Support End of Life Dec 2020

https://support.eset.com/en/is-my-eset-product-supported-eset-end-of-life-policy-business-products
+
это прочтите к сведению
(Пришло время отключить доступ к RDP из интернета )
https://forum.esetnod32.ru/forum9/topic15582/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка MSI.1303 при установке Eset Endpoint Antivirus 7.2.2055

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2020 16:16:16

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {0E4EDFA3-7709-4E3E-BF10-BC948EE0D79C} - \Windows Update 5dcb6e66 -> No File <==== ATTENTION Task: {132CB1CA-587B-4E1A-B65A-62D1F71684A9} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION Task: {2376B0BE-2405-4337-93D4-FABC5C44A78C} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION Task: {24F36DC8-AEF5-4EBB-982B-31F700BDA9F5} - \Microsoft\Windows\5123E61F-2066-4E12-BB1E-4A928EEF8BAD -> No File <==== ATTENTION Task: {298741E9-C658-454D-8308-83B4B6A0D185} - \{FD0D6607-3121-4176-8C45-D964F0D456D0} -> No File <==== ATTENTION Task: {2A30300A-7EDB-4F8B-A55F-3AB8337DCA14} - \{98B2C078-E17D-4C34-B14B-F5002C6B8D11} -> No File <==== ATTENTION Task: {3BB24FC3-E9A8-4E70-B530-516406E3A799} - \{D529708E-0ECE-4500-A171-5D1CDA6D783C} -> No File <==== ATTENTION Task: {41237927-A1CB-401E-98A2-84FDC2585031} - \Windows Update b2b04eba -> No File <==== ATTENTION Task: {8AD3A823-A2E9-4CC7-AC66-017924526B97} - \Windows Update 597301b5 -> No File <==== ATTENTION Task: {FCCA92DC-69C8-4F4D-8ECA-E7554CBC0448} - \Windows Update 22074eed -> No File <==== ATTENTION CHR Notifications: Default -> hxxps://blackstarwear.ru; hxxps://chuvashia.shop.megafon.ru; hxxps://horoscopes.rambler.ru; hxxps://hr-portal.info; hxxps://iplastica.ru; hxxps://kcentr.ru; hxxps://kofechaj24.ru; hxxps://news-fancy.com; hxxps://ria.ru; hxxps://www.letu.ru; hxxps://www.m24.ru; hxxps://www.sport-express.ru; hxxps://www.wildberries.ru; hxxps://yandex.ru AlternateDataStreams: C:\ProgramData\TEMP:373E1720 [118] AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720 [118] FirewallRules: [{C891F5A7-080F-4D6C-905C-0B8A62E6C098}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab) FirewallRules: [{FF6BE0D1-E4F8-4FFD-A071-D7BBAC00C099}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab) FirewallRules: [{C3E8002E-D082-467D-B499-F64C2161F89C}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab) FirewallRules: [{A3D40A81-6033-4F68-B436-41BDD062F287}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab) FirewallRules: [{840156BC-79A2-4862-BBCA-9BEFA349E3B1}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab) FirewallRules: [{62DFB077-EA97-4588-B828-6E094C77F8C0}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab) EmptyTemp: Reboot:

Код

GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {0E4EDFA3-7709-4E3E-BF10-BC948EE0D79C} - \Windows Update 5dcb6e66 -> No File <==== ATTENTION
Task: {132CB1CA-587B-4E1A-B65A-62D1F71684A9} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {2376B0BE-2405-4337-93D4-FABC5C44A78C} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {24F36DC8-AEF5-4EBB-982B-31F700BDA9F5} - \Microsoft\Windows\5123E61F-2066-4E12-BB1E-4A928EEF8BAD -> No File <==== ATTENTION
Task: {298741E9-C658-454D-8308-83B4B6A0D185} - \{FD0D6607-3121-4176-8C45-D964F0D456D0} -> No File <==== ATTENTION
Task: {2A30300A-7EDB-4F8B-A55F-3AB8337DCA14} - \{98B2C078-E17D-4C34-B14B-F5002C6B8D11} -> No File <==== ATTENTION
Task: {3BB24FC3-E9A8-4E70-B530-516406E3A799} - \{D529708E-0ECE-4500-A171-5D1CDA6D783C} -> No File <==== ATTENTION
Task: {41237927-A1CB-401E-98A2-84FDC2585031} - \Windows Update b2b04eba -> No File <==== ATTENTION
Task: {8AD3A823-A2E9-4CC7-AC66-017924526B97} - \Windows Update 597301b5 -> No File <==== ATTENTION
Task: {FCCA92DC-69C8-4F4D-8ECA-E7554CBC0448} - \Windows Update 22074eed -> No File <==== ATTENTION
CHR Notifications: Default -> hxxps://blackstarwear.ru; hxxps://chuvashia.shop.megafon.ru; hxxps://horoscopes.rambler.ru; hxxps://hr-portal.info; hxxps://iplastica.ru; hxxps://kcentr.ru; hxxps://kofechaj24.ru; hxxps://news-fancy.com; hxxps://ria.ru; hxxps://www.letu.ru; hxxps://www.m24.ru; hxxps://www.sport-express.ru; hxxps://www.wildberries.ru; hxxps://yandex.ru
AlternateDataStreams: C:\ProgramData\TEMP:373E1720 [118]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720 [118]
FirewallRules: [{C891F5A7-080F-4D6C-905C-0B8A62E6C098}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{FF6BE0D1-E4F8-4FFD-A071-D7BBAC00C099}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{C3E8002E-D082-467D-B499-F64C2161F89C}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{A3D40A81-6033-4F68-B436-41BDD062F287}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{840156BC-79A2-4862-BBCA-9BEFA349E3B1}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{62DFB077-EA97-4588-B828-6E094C77F8C0}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка MSI.1303 при установке Eset Endpoint Antivirus 7.2.2055

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2020 10:43:21

удалите все найденное в малваребайт,
далее,

сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти