• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Лечение после шифровальщика [bitlocker@foxmail.com] .wiki

Статус
В этой теме нельзя размещать новые ответы.

SamuelsON

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Добрый день! Прошу подсказать, что нужно предпринять для усиления защиты и очистки от вируса шифровальщика [bitlocker@foxmail.com] .wiki, который зашифровал все Базы 1С на сервере?
На момент зашифровки стоят Eset Endpoint Antivirus 4...правда антивирусные базы были недельной давности. Вирус был пойман антивирусом в оперативной памяти через 20мин на одном из клиентов сервера (созданным менее недели назад), но свою работу он успел сделать.

После запускал антивирусные LiveCD, antimalware от Malwarebytes. который понаходил следы шифровальщика в $Recycle и на этом пока все.

Дополнительно к логам AutoLogger приложил скрины где вирус был обнаружен и какие файлы он оставил на рабочем столе пользователя. А также приложил архив зашифрованного вирусом doc файла. Пароль на архив "123".

Если уже появилась возможность расшифровать файлы - буду нереально признателен за помощь.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
Скорее всего через слабозащищенный RDP зашли. (если RDP смотрит в интернет, то он слабозащищенный). Тут правилом хорошего тона будет его скрыть за VPN с авторизацией + защита от переборов паролей + обязательная установка патчей безопасности.
Ну и настройка периметра безопасности:

Если уже появилась возможность расшифровать файлы - буду нереально признателен за помощь.
Нет не появилась, и если не случится чуда, то в обозримом будущем не появится. Можно попробовать восстановить БД 1с (смотрите подпись), но с файлами без ключей преступников никак.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

SamuelsON

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Скорее всего через слабозащищенный RDP зашли. (если RDP смотрит в интернет, то он слабозащищенный). Тут правилом хорошего тона будет его скрыть за VPN с авторизацией + защита от переборов паролей + обязательная установка патчей безопасности.
Ну и настройка периметра безопасности:


Нет не появилась, и если не случится чуда, то в обозримом будущем не появится. Можно попробовать восстановить БД 1с (смотрите подпись), но с файлами без ключей преступников никак.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Таки да, скорее всего так и зашли через RDP смотрящий в Инет - надо было для пользователей отрубить его ранее вообще!
Файлы отчетов прилагаю
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
В логах ничего вредоносного не вижу.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Ваше?
Task: {A04090FF-E41E-4816-9C4B-2679DCA1FF1D} - System32\Tasks\Чистка архива => F:\delete.bat [64 2019-03-14] () [File not signed]
Task: {C7072592-EF56-40FC-BD36-ECC40B1635D1} - System32\Tasks\Архивирование => Command(1): F:\kill.bat [78 [78 2018-08-14]] () [File not signed]
Task: {C7072592-EF56-40FC-BD36-ECC40B1635D1} - System32\Tasks\Архивирование => Command(2): F:\arhive.bat [119 [119 2015-12-26]] () [File not signed]
Task: {C7072592-EF56-40FC-BD36-ECC40B1635D1} - System32\Tasks\Архивирование => Command(3): F:\delete.bat [64 [64 2019-03-14]] () [File not signed]

Проверьте список администраторов, нет ли лишних (да и много их у вас).
==================== Accounts: =============================

adm (S-1-5-21-4096482161-1890261401-1328449994-1029 - Administrator - Enabled) => C:\Users\adm
admin (S-1-5-21-4096482161-1890261401-1328449994-1036 - Administrator - Enabled) => C:\Users\admin.SERVER1
bn (S-1-5-21-4096482161-1890261401-1328449994-1025 - Administrator - Enabled) => C:\Users\bn
IraNetN (S-1-5-21-4096482161-1890261401-1328449994-1011 - Administrator - Enabled) => C:\Users\IraNetN
kas (S-1-5-21-4096482161-1890261401-1328449994-1026 - Administrator - Enabled) => C:\Users\kas
kassa (S-1-5-21-4096482161-1890261401-1328449994-1030 - Administrator - Enabled) => C:\Users\kassa.SERVER1
Kurskaya (S-1-5-21-4096482161-1890261401-1328449994-1020 - Limited - Enabled) => C:\Users\Kurskaya
nastya (S-1-5-21-4096482161-1890261401-1328449994-1027 - Administrator - Enabled) => C:\Users\nastya
natali (S-1-5-21-4096482161-1890261401-1328449994-1008 - Administrator - Enabled) => C:\Users\natali
natasha (S-1-5-21-4096482161-1890261401-1328449994-1007 - Administrator - Enabled) => C:\Users\natasha
softl2 (S-1-5-21-4096482161-1890261401-1328449994-1018 - Administrator - Enabled) => C:\Users\softl2
softline (S-1-5-21-4096482161-1890261401-1328449994-1015 - Administrator - Enabled) => C:\Users\Softline
STN (S-1-5-21-4096482161-1890261401-1328449994-1021 - Administrator - Enabled) => C:\Users\CTO2
SvetaCh (S-1-5-21-4096482161-1890261401-1328449994-1028 - Administrator - Enabled) => C:\Users\SvetaCh
SvetaU (S-1-5-21-4096482161-1890261401-1328449994-1016 - Administrator - Enabled) => C:\Users\SvetaU
Администратор (S-1-5-21-4096482161-1890261401-1328449994-500 - Administrator - Disabled) => C:\Users\Администратор
 

SamuelsON

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Хм...по поводу такого количества Администраторов :Dntknw:...не припомню, чтобы у всех этих пользователей были права...или я плохо смотрел, когда мне передавали управление сервером.Принудительно мог вирус назначить права? (в чем я сомневаюсь).

За программы понял - обновляем.

Запланированные задачи - наши! (только вот почему-то перестали выполняться, из-за чего не делались бекапы последние месяцы :Sad:)

Странно...Лог AVZ не хочет запускаться...хотя антивирус отключил насколько было возможно. В чем может быть проблема?!
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
Кажется не хватает в конце "end."
Лучше скрипт забирать через кнопку скопировать
1575726094184.png

Справа сверху
Принудительно мог вирус назначить права?
Заходят и запускают зачастую вручную шифровальщик, поэтому можно сделать, все, что угодно.

Администраторов :Dntknw:...не припомню, чтобы у всех этих пользователей были права
Тут нужно смотреть ручками, что у них за права на сервере.
 

SamuelsON

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Да, вы оказались правы на счет "end."

Ну как обычно...не установлен SP1 и пошло поехало.

Кстати. нашел логи работы antimalware от Malwarebytes по удаленным остаткам шифровальщика
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
В принципе на этом все, чем можно помочь.
 

SamuelsON

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Спасибо вам огромное за оперативную помощь и толковые рекомендации!!!
 

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу