• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Лечение после шифровальщика [bitlocker@foxmail.com] .wiki

Статус
В этой теме нельзя размещать новые ответы.
SamuelsON

SamuelsON

Новый пользователь
Сообщения
5
Реакции
0
Добрый день! Прошу подсказать, что нужно предпринять для усиления защиты и очистки от вируса шифровальщика [bitlocker@foxmail.com] .wiki, который зашифровал все Базы 1С на сервере?
На момент зашифровки стоят Eset Endpoint Antivirus 4...правда антивирусные базы были недельной давности. Вирус был пойман антивирусом в оперативной памяти через 20мин на одном из клиентов сервера (созданным менее недели назад), но свою работу он успел сделать.

После запускал антивирусные LiveCD, antimalware от Malwarebytes. который понаходил следы шифровальщика в $Recycle и на этом пока все.

Дополнительно к логам AutoLogger приложил скрины где вирус был обнаружен и какие файлы он оставил на рабочем столе пользователя. А также приложил архив зашифрованного вирусом doc файла. Пароль на архив "123".

Если уже появилась возможность расшифровать файлы - буду нереально признателен за помощь.
 

Вложения

Последнее редактирование:
Скорее всего через слабозащищенный RDP зашли. (если RDP смотрит в интернет, то он слабозащищенный). Тут правилом хорошего тона будет его скрыть за VPN с авторизацией + защита от переборов паролей + обязательная установка патчей безопасности.
Ну и настройка периметра безопасности:
github.com

SecCon-Framework/windows-security-configuration-framework.md at master · microsoft/SecCon-Framework

Security configuration is complex. With thousands of group policies available in Windows, choosing the “best” setting is difficult. It’s not always obvious which permutations of policies are requir...
github.com github.com

Если уже появилась возможность расшифровать файлы - буду нереально признателен за помощь.
Нажмите для раскрытия...
Нет не появилась, и если не случится чуда, то в обозримом будущем не появится. Можно попробовать восстановить БД 1с (смотрите подпись), но с файлами без ключей преступников никак.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
akok написал(а):
Скорее всего через слабозащищенный RDP зашли. (если RDP смотрит в интернет, то он слабозащищенный). Тут правилом хорошего тона будет его скрыть за VPN с авторизацией + защита от переборов паролей + обязательная установка патчей безопасности.
Ну и настройка периметра безопасности:
github.com

SecCon-Framework/windows-security-configuration-framework.md at master · microsoft/SecCon-Framework

Security configuration is complex. With thousands of group policies available in Windows, choosing the “best” setting is difficult. It’s not always obvious which permutations of policies are requir...
github.com github.com


Нет не появилась, и если не случится чуда, то в обозримом будущем не появится. Можно попробовать восстановить БД 1с (смотрите подпись), но с файлами без ключей преступников никак.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Нажмите для раскрытия...

Таки да, скорее всего так и зашли через RDP смотрящий в Инет - надо было для пользователей отрубить его ранее вообще!
Файлы отчетов прилагаю
 

Вложения

В логах ничего вредоносного не вижу.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код: 
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Ваше?
Task: {A04090FF-E41E-4816-9C4B-2679DCA1FF1D} - System32\Tasks\Чистка архива => F:\delete.bat [64 2019-03-14] () [File not signed]
Task: {C7072592-EF56-40FC-BD36-ECC40B1635D1} - System32\Tasks\Архивирование => Command(1): F:\kill.bat [78 [78 2018-08-14]] () [File not signed]
Task: {C7072592-EF56-40FC-BD36-ECC40B1635D1} - System32\Tasks\Архивирование => Command(2): F:\arhive.bat [119 [119 2015-12-26]] () [File not signed]
Task: {C7072592-EF56-40FC-BD36-ECC40B1635D1} - System32\Tasks\Архивирование => Command(3): F:\delete.bat [64 [64 2019-03-14]] () [File not signed]

Проверьте список администраторов, нет ли лишних (да и много их у вас).
==================== Accounts: =============================

adm (S-1-5-21-4096482161-1890261401-1328449994-1029 - Administrator - Enabled) => C:\Users\adm
admin (S-1-5-21-4096482161-1890261401-1328449994-1036 - Administrator - Enabled) => C:\Users\admin.SERVER1
bn (S-1-5-21-4096482161-1890261401-1328449994-1025 - Administrator - Enabled) => C:\Users\bn
IraNetN (S-1-5-21-4096482161-1890261401-1328449994-1011 - Administrator - Enabled) => C:\Users\IraNetN
kas (S-1-5-21-4096482161-1890261401-1328449994-1026 - Administrator - Enabled) => C:\Users\kas
kassa (S-1-5-21-4096482161-1890261401-1328449994-1030 - Administrator - Enabled) => C:\Users\kassa.SERVER1
Kurskaya (S-1-5-21-4096482161-1890261401-1328449994-1020 - Limited - Enabled) => C:\Users\Kurskaya
nastya (S-1-5-21-4096482161-1890261401-1328449994-1027 - Administrator - Enabled) => C:\Users\nastya
natali (S-1-5-21-4096482161-1890261401-1328449994-1008 - Administrator - Enabled) => C:\Users\natali
natasha (S-1-5-21-4096482161-1890261401-1328449994-1007 - Administrator - Enabled) => C:\Users\natasha
softl2 (S-1-5-21-4096482161-1890261401-1328449994-1018 - Administrator - Enabled) => C:\Users\softl2
softline (S-1-5-21-4096482161-1890261401-1328449994-1015 - Administrator - Enabled) => C:\Users\Softline
STN (S-1-5-21-4096482161-1890261401-1328449994-1021 - Administrator - Enabled) => C:\Users\CTO2
SvetaCh (S-1-5-21-4096482161-1890261401-1328449994-1028 - Administrator - Enabled) => C:\Users\SvetaCh
SvetaU (S-1-5-21-4096482161-1890261401-1328449994-1016 - Administrator - Enabled) => C:\Users\SvetaU
Администратор (S-1-5-21-4096482161-1890261401-1328449994-500 - Administrator - Disabled) => C:\Users\Администратор
 
Хм...по поводу такого количества Администраторов :Dntknw:...не припомню, чтобы у всех этих пользователей были права...или я плохо смотрел, когда мне передавали управление сервером.Принудительно мог вирус назначить права? (в чем я сомневаюсь).

За программы понял - обновляем.

Запланированные задачи - наши! (только вот почему-то перестали выполняться, из-за чего не делались бекапы последние месяцы :Sad:)

Странно...Лог AVZ не хочет запускаться...хотя антивирус отключил насколько было возможно. В чем может быть проблема?!
 

Вложения

  • скрипта avz.webp
    скрипта avz.webp
    28.6 KB · Просмотры: 134
Кажется не хватает в конце "end."
Лучше скрипт забирать через кнопку скопировать
1575726094184.webp


Справа сверху
SamuelsON написал(а):
Принудительно мог вирус назначить права?
Нажмите для раскрытия...
Заходят и запускают зачастую вручную шифровальщик, поэтому можно сделать, все, что угодно.

SamuelsON написал(а):
Администраторов :Dntknw:...не припомню, чтобы у всех этих пользователей были права
Нажмите для раскрытия...
Тут нужно смотреть ручками, что у них за права на сервере.
 
Да, вы оказались правы на счет "end."

Ну как обычно...не установлен SP1 и пошло поехало.

Кстати. нашел логи работы antimalware от Malwarebytes по удаленным остаткам шифровальщика
 

Вложения

  • avz_log.txt
    avz_log.txt
    590 байт · Просмотры: 1
  • вирусы Ransom.Сrysis.webp
    вирусы Ransom.Сrysis.webp
    46.3 KB · Просмотры: 125
Последнее редактирование:
В принципе на этом все, чем можно помочь.
 
Спасибо вам огромное за оперативную помощь и толковые рекомендации!!!
 
Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

G
  • Закрыта
Решена Лечение системы после удаления майнера John с помощью AV_block_remove
  • miner realtek hd john
Ответы
8
Просмотры
416
Sandor
Sandor
R
  • Закрыта
Закрыто Лечение после AVbr
Ответы
3
Просмотры
366
Sandor
Sandor
A
  • Закрыта
Решена Лечение, после вируса John
Ответы
10
Просмотры
2K
Sandor
Sandor
Назад
Сверху Снизу