santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

сбой установки, Установка не завершена

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.04.2019 05:27:31

добавьте образ автозапуска системы,
http://forum.esetnod32.ru/forum9/topic2687/
и
лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.04.2019 14:28:36

могли получить список учетных записей на сервере, и перебором или по словарю получить пароль доступа для выбранной учетной записи.
т.е. подключиться из внешней сети по RDP используя уже известную пару логин и пароль.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.04.2019 13:14:50

Цитата
Сергей Жало написал: Файлы по шифровало с расширением *.id-EF.[ [email protected] ].ldprЗагрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwnОбраз автозапуска пока делается, выложу логи вместе с SecurityCheck by glax24 & Severnyj и журналом.Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?

Цитата

Сергей Жало написал:
Файлы по шифровало с расширением *.id-EF.[ [email protected] ].ldprЗагрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwnОбраз автозапуска пока делается, выложу логи вместе с SecurityCheck by glax24 & Severnyj и журналом.Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?

да, можно и с него.
но имейте ввиду, предположительно атака была в воскресение,
(судя по темам на других форумах, поэтому и образ может быть уже зараженным).
по мерам безопасности, я расписал выше.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.04.2019 13:00:50

1. предположительно, была взломана эта учетная запись
C:\USERS\ALINA\APPDATA\ROAMING\INFO.HTA

2. возможно, что антивирус (если был установлен на момент атаки) был отключен на момент запуска, потому что этот вариант Crysis детектируется уже давно, проверьте, возможно ли это, чтобы под учетной записью пользователя, можно было отключить антивир.
(установлен ли пароль защиты доступа к настройкам антивируса, работают ли обычные пользователи на терминальном сервере с правами администратора - если это так, то надо у них эти права отнять, и настроить их работу под обычными правами)

3. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA apply QUIT

Код


;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR
delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.04.2019 12:56:59

Сергей,

судя по логу серверные данные пострадали от шифратора Crysis c расширением LDPR
очистка файлов сработала только сегодня. 23.04.2019 3:08:23
отсюда можно предположить, что взлом был из внешней сети.
либо подобрали пароль во время атаки к какой либо учетной записи, либо, предварительно эти данные были у злоумышленников
на руках на момент атаки. (ранее провели всю подготовительную работу, или купили доступ к учетной записи на черном рынке,
увы и такое возможно сейчас. разделение труда)

Цитата
="Время">23.04.2019 3:08:23</COLUMN> <COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN> <COLUMN NAME="Тип объекта">файл</COLUMN> <COLUMN NAME="Объект">Оперативная память = C:\Users\alina\Videos\notepad.exe</COLUMN> <COLUMN NAME="Обнаружение">модифицированный Win32/Filecoder.Crysis.P троянская программа</COLUMN> <COLUMN NAME="Действие">очищен</COLUMN> <COLUMN NAME="Пользователь"/> <COLUMN NAME="Информация"/> <COLUMN NAME="Хэш">CA83FFE07145A9CDD53AD45A61E1CF46C7BC2AA8</COLUMN>

Цитата

="Время">23.04.2019 3:08:23</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Тип объекта">файл</COLUMN>
<COLUMN NAME="Объект">Оперативная память = C:\Users\alina\Videos\notepad.exe</COLUMN>
<COLUMN NAME="Обнаружение">модифицированный Win32/Filecoder.Crysis.P троянская программа</COLUMN>
<COLUMN NAME="Действие">очищен</COLUMN>
<COLUMN NAME="Пользователь"/>
<COLUMN NAME="Информация"/>
<COLUMN NAME="Хэш">CA83FFE07145A9CDD53AD45A61E1CF46C7BC2AA8</COLUMN>

Цитата
<COLUMN NAME="Время">23.04.2019 7:06:46</COLUMN> <COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN> <COLUMN NAME="Тип объекта">файл</COLUMN> <COLUMN NAME="Объект">c:\users\alina\videos\notepad.exe</COLUMN>

следуют как минимум,
поменять все пароли к учетным записям на более сложные,
установить политику защиты паролей от перебора,
запретить доступ из внешней сети к серверу, за исключением только доверенных ip
------------
образ сейчас посмотрю.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.04.2019 12:24:41

как минимум, известно три случая, когда шифрование было по причине установленного MeDOC: *.repairfiles365@gmail_com, ~xdata~, NotPetya
может опять через его обновление что-то проникает и запускается в системе?
проверьте так же время начала шифрования, кто авторизовался на сервере терминалов примерно в это время, какие пароли (надежные, слабые) установлены на аккаунтах, входящих в группу RDP на указанном сервере, настроены ли политики безопасности для защиты от перебора пароля к этим учеткам (блокировать после трех неверных вводах пароля)

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.04.2019 12:03:28

Сергей,
надо таки знать, какой это был шифратор. ((наличие одной почты вымогателя - слишком мало информации, чтобы сделать вывод).
Как он распознается антивирусными компаниями, какие расширение было у зашифрованных файлов.
Если установлен антивирус, то возможно в логах журнала угроз есть информация,
добавьте лог журнала угроз
+
добавьте образ автозапуска системы
+
сделайте лог по проверке уязвимостей.

Цитата
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10). Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Цитата

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.04.2019 16:50:27

@Andrei Sverzh,

добавьте таки образ автозапуска для проверки системы.
(спасения файлов для этого варианта Crysis/Dharma c расширением *.adobe в настоящее время нет, спасение возможно только из бэкапов, или если теневые копии уцелели, что маловероятно).

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] некорректно работает подключение к интернету.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.04.2019 17:10:57

Цитата
Алексей Никифоров написал: После установки NOD32 при подключении к интернету (подключаюсь с помощью программы "Megafon Internet") компьютер намертво зависает. Раньше такого не было!

возможно потому, что вы установили ломанную версию антивируса с TNod User & Password Finder
по правилам нашего форума, помощь пользователям, которые используют такие версии антивируса ESET не оказывается.
обращаемся за помощью на другой форум.

[ Как создать образ автозапуска? ]

Перейти

Мирные сайты блокируются

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.04.2019 16:56:38

Цитата
TheBandit Nope написал: Я захожу на сайты на которые я мог зайти раньше а сейчас оно говорит что ето вредоносный сайт

добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Перейти