• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

В работе поймал шифровальщик от carbanak@aol.com

car776

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Здравствуйте. поймал такую дрянь. зашифровались все текстовые, табличные, архивные документы, изображения... лог и пара зашифрованных файлов - в архиве. могу отправить несколько пар зашифрованных/незашифрованных файлов (остались на флешке). антивирусом комп просканировал, нашел 4 файла, удалены. окно с требованиями закрыли, скрин не сохранился. адрес для обращения был указан carbanak@aol.com
 

Вложения

  • CollectionLog-2021.02.16-10.05.zip
    65 KB · Просмотры: 3
  • 22.rar
    9.1 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,416
Реакции
2,232
Баллы
643
Здравствуйте!

Это Dharma (.cezar Family) или Crysis по терминологии ЛК. Расшифровки нет.
Система под снос или будем чистить от мусора?
 

car776

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
систему пока оставлю. использовался как файловый сервер. очень много шифранулось....
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,416
Реакции
2,232
Баллы
643
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\1764a~1\appdata\local\temp\3\3582-490\networkshare.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('c:\users\1764a~1\appdata\local\temp\3\3582-490\networkshare.exe', '');
 QuarantineFile('C:\Users\1с\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('c:\users\1764a~1\appdata\local\temp\3\3582-490\networkshare.exe', '');
 DeleteFile('C:\Users\1с\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.




Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,416
Реакции
2,232
Баллы
643
На форуме ЛК ваша тема? Если да, я там закрою, т.к. лечить следует в одном месте.
 

car776

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Здравствуйте!

Это Dharma (.cezar Family) или Crysis по терминологии ЛК. Расшифровки нет.
Система под снос или будем чистить от мусора?
а как лучше восстановить нормальную работоспособность системы?
 

akok

Команда форума
Администратор
Сообщения
19,795
Реакции
13,569
Баллы
2,203
Смените пароли на RDP и скройте порты за VPN и можно жить, систему мы почистили. А так на ваше усмотрение.
 

car776

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Смените пароли на RDP и скройте порты за VPN и можно жить, систему мы почистили. А так на ваше усмотрение.
как почистили систему??? кстати, нашел файл carb.exe, который лежит в одной из папок с базами 1с. проблема в том, что не могу его скопировать никуда, "недостаточно прав"
 

akok

Команда форума
Администратор
Сообщения
19,795
Реакции
13,569
Баллы
2,203
как почистили систему???
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

car776

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • FRST.txt
    45.7 KB · Просмотры: 1
  • Addition.txt
    24.1 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,795
Реакции
13,569
Баллы
2,203
Почти чисто. Кроме активации Info.hta ничего активного не наблюдается. По поводу carb.exe с любыми неактивными хвостами справляется обычный антивирус или сканер по требованию, в логи неактивное не попадает.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\system32\TSMSISrv.dll
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13912 2021-02-16] () [Файл не подписан]
    HKLM\...\Run: [C:\Users\1с\AppData\Roaming\Info.hta] => C:\Users\1с\AppData\Roaming\Info.hta [13912 2021-02-16] () [Файл не подписан]
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Windows\system32\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Users\1с\Desktop\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Users\1с\AppData\Roaming\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\Users\1с\Desktop\FILES ENCRYPTED.txt
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\FILES ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

car776

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Почти чисто. Кроме активации Info.hta ничего активного не наблюдается. По поводу carb.exe с любыми неактивными хвостами справляется обычный антивирус или сканер по требованию, в логи неактивное не попадает.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\system32\TSMSISrv.dll
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13912 2021-02-16] () [Файл не подписан]
    HKLM\...\Run: [C:\Users\1с\AppData\Roaming\Info.hta] => C:\Users\1с\AppData\Roaming\Info.hta [13912 2021-02-16] () [Файл не подписан]
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Windows\system32\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Users\1с\Desktop\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Users\1с\AppData\Roaming\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\Users\1с\Desktop\FILES ENCRYPTED.txt
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\FILES ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Вложения

  • Fixlog.txt
    2.1 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,795
Реакции
13,569
Баллы
2,203
Пользователей проверьте, все ли администраторы созданы вами. И не нужно запускать скрипи несколько раз. И все на этом.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Сверху Снизу