• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки поймал шифровальщик от [carbanak@aol.com]

Статус
В этой теме нельзя размещать новые ответы.

car776

Новый пользователь
Сообщения
6
Реакции
0
Здравствуйте. поймал такую дрянь. зашифровались все текстовые, табличные, архивные документы, изображения... лог и пара зашифрованных файлов - в архиве. могу отправить несколько пар зашифрованных/незашифрованных файлов (остались на флешке). антивирусом комп просканировал, нашел 4 файла, удалены. окно с требованиями закрыли, скрин не сохранился. адрес для обращения был указан carbanak@aol.com
 

Вложения

  • CollectionLog-2021.02.16-10.05.zip
    65 KB · Просмотры: 3
  • 22.rar
    9.1 KB · Просмотры: 1
Здравствуйте!

Это Dharma (.cezar Family) или Crysis по терминологии ЛК. Расшифровки нет.
Система под снос или будем чистить от мусора?
 
систему пока оставлю. использовался как файловый сервер. очень много шифранулось....
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\1764a~1\appdata\local\temp\3\3582-490\networkshare.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('c:\users\1764a~1\appdata\local\temp\3\3582-490\networkshare.exe', '');
 QuarantineFile('C:\Users\1с\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('c:\users\1764a~1\appdata\local\temp\3\3582-490\networkshare.exe', '');
 DeleteFile('C:\Users\1с\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.




Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
На форуме ЛК ваша тема? Если да, я там закрою, т.к. лечить следует в одном месте.
 
Здравствуйте!

Это Dharma (.cezar Family) или Crysis по терминологии ЛК. Расшифровки нет.
Система под снос или будем чистить от мусора?
а как лучше восстановить нормальную работоспособность системы?
 
Смените пароли на RDP и скройте порты за VPN и можно жить, систему мы почистили. А так на ваше усмотрение.
 
Смените пароли на RDP и скройте порты за VPN и можно жить, систему мы почистили. А так на ваше усмотрение.
как почистили систему??? кстати, нашел файл carb.exe, который лежит в одной из папок с базами 1с. проблема в том, что не могу его скопировать никуда, "недостаточно прав"
 
как почистили систему???
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • FRST.txt
    45.7 KB · Просмотры: 1
  • Addition.txt
    24.1 KB · Просмотры: 2
Почти чисто. Кроме активации Info.hta ничего активного не наблюдается. По поводу carb.exe с любыми неактивными хвостами справляется обычный антивирус или сканер по требованию, в логи неактивное не попадает.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\system32\TSMSISrv.dll
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13912 2021-02-16] () [Файл не подписан]
    HKLM\...\Run: [C:\Users\1с\AppData\Roaming\Info.hta] => C:\Users\1с\AppData\Roaming\Info.hta [13912 2021-02-16] () [Файл не подписан]
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Windows\system32\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Users\1с\Desktop\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Users\1с\AppData\Roaming\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\Users\1с\Desktop\FILES ENCRYPTED.txt
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\FILES ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Почти чисто. Кроме активации Info.hta ничего активного не наблюдается. По поводу carb.exe с любыми неактивными хвостами справляется обычный антивирус или сканер по требованию, в логи неактивное не попадает.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\system32\TSMSISrv.dll
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13912 2021-02-16] () [Файл не подписан]
    HKLM\...\Run: [C:\Users\1с\AppData\Roaming\Info.hta] => C:\Users\1с\AppData\Roaming\Info.hta [13912 2021-02-16] () [Файл не подписан]
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Windows\system32\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Users\1с\Desktop\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000013912 _____ C:\Users\1с\AppData\Roaming\Info.hta
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\Users\1с\Desktop\FILES ENCRYPTED.txt
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2021-02-16 07:56 - 2021-02-16 07:56 - 000000204 _____ C:\FILES ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Вложения

  • Fixlog.txt
    2.1 KB · Просмотры: 1
Пользователей проверьте, все ли администраторы созданы вами. И не нужно запускать скрипи несколько раз. И все на этом.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу