• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Поймали шифровальщик на сервер(ах). Прошу помощи.

Статус
В этой теме нельзя размещать новые ответы.

Serj

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
В настоящее время нахожусь в командировке на удаленном объекте за 1000км от офиса. Позвонили с офиса, сказали что не могут залогиниться на сервер 1с (по rdp), вылетала ошибка службы профилей.
Зацепился сам, через впн на другой сервак. С него начал ковырять проблему на 1С-ном сервере. После танцев с бубнами, редактированием реестра, подменой дефолтного юзер. профиля смог зацепится по рдп на сервак 1С и вылетел баннер с том, что данные зашифрованы...
Практически в этот же момент мне успели сообщить, что не могут открыть данные на шарах файл сервера (это другой физический сервак) и прислали фото шары, где видно, что файлы переименованы, и с учетом описанного выше, зашифрованы..
Учитывая что нахожусь за 1000км от всего этого, интернет только через спутник, единственно решение было принято срочно вырубить все сервера. (6 шт).
Пока на "руках" есть только фотка с банером.
Товарищи, прошу только сильно не пинайте, может где-то на эмоциях от того, что вернусь в город через сутки, а еще через двое мне уезжать в отпуск, а тут вот это вот произошло, может из-за того, что в последние несколько лет занимался немного другим направлением - могу "тупить".
Источник проблемы пока не выяснен. По пользовательским ПК, а там зоопарк Win7, 10, MacOS, пока не возникло ни у кого проблем. Следовательно могу предположить, что шифровальщик попал "напрямую" на сервер или сервера... И да, косяк в том, что был временно открыт рдп наружу (такие мелочи как смена порта, политика сложных паролей, блокировка учеток после неудачных попыток, обновления и т.п. сделаны).
Все серверы на Win Server 2008R2. Пользовательских ПК порядка 40 шт.
Прошу направить меня и посоветовать какие шаги принять по приезду. То, что "лег" сервер 1С не сильно печалюсь, там по факту крутился сам 1С сервер. А вот то, что данные на файловом сервере зашифрованы очень тревожит. Т.к. помимо важных данных, там еще крутился MS SQL Server, а на нем базы 1С... Базы конечно бэкапились ежедневно, но что-то предчувствую, что и туда шифровщик добрался.
Собственно вопросы:
1. какую выстроить цепочку действий, чтобы не зависнуть с возобновлением работы сети на неделю и более. Стоит ли пытаться найти источник заражения, и какие варианты для этого есть?
2. С чего лучше загрузиться для сканирования сервером на наличие непосредственно вируса? (сервера старые добрые IBM System 3250, со своими премудростями по загрузке с чего-то)
3. Чем лучше прогнать сервера и клиентские пк (на всякий пожарный) для поиска вируса?
4. Есть ли смысл "поднять с колен" зараженные системы, или "ставить с нуля"?
5. Возможно ли данные попытаться дешифровать?

Еще раз прошу извинить за вопросы, на которые вполне возможно можно найти ответы в гугле и т.д. Но за неимением времени, стабильного канала интернет, и учитывая ваш опыт, надеюсь с вашей помощью от проблемы быстрее избавлюсь...
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
1. Взлом был через RDP скорее всего, так что смена паролей обязательна, и стоит скрыть RDP за VPN
2. Если сервер зашифрован полностью, то без разницы. Можно запускать и зараженную ОС, а вот останется ли шифровальщик в автозапуске, вопрос. Нужно смотреть в логи.... хотя любой топовый антивирус скорее всего детектит шифровальщик. Попробуйте прогнать сканером.
2.1. А если остановили в процессе шифрования, то можно восстановить данные из теневых копий и тут понадобиться LiveCD (лучше перебдеть)
3. Любой антивирусный сканер
4. Нужно глянуть в логи, но лучше апнуть ОС на более свежие версии. Есть версии которые самоудаляются, а есть которые оставляют другую полезную нагрузку или прописываются в автозапуск.
5. Нужно посмотреть на нескольких небольших зашифрованных файлах.
 
Последнее редактирование модератором:

Serj

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Спасибо за ответ! Вот добрался до серверов, сейчас качаю утилиты "топовых" антивирусов, попробую с них загрузиться и проверить.
Есть смысл собрать потом логи с помощью AutoLogger.exe, и сюда скинуть?
 

Serj

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Пока на одном из серверов выловил тело вируса. Могу прислать в зашифрованном архиве? Нужно? Каспер написал что это Trojan-Ransom.Win32.Crusis.to.
Зашифрованные файлы можно выложить сюда или создать отдельную тему по помощи в расшифровке?
1. Взлом был через RDP скорее всего, так что смена паролей обязательна, и стоит скрыть RDP за VPN
2. Если сервер зашифрован полностью, то без разницы. Можно запускать и зараженную ОС, а вот останется ли шифровальщик в автозапуске, вопрос. Нужно смотреть в логи.... хотя любой топовый антивирус скорее всего детектит шифровальщик. Попробуйте прогнать сканером.
2.1. А если остановили в процессе шифрования, то можно восстановить данные из теневых копий и тут понадобиться LiveCD (лучше перебдеть)
3. Любой антивирусный сканер
4. Нужно глянуть в логи, но лучше апнуть ОС на более свежие версии. Есть версии которые самоудаляются, а есть которые оставляют другую полезную нагрузку или прописываются в автозапуск.
5. Нужно посмотреть на нескольких небольших зашифрованных файлах.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
Увы, расшифровки ни одного из многочисленных вариантов этого шифратора нет ни у одной антивирусной компании.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,736
Реакции
2,064
Баллы
643
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,736
Реакции
2,064
Баллы
643
Открыта по просьбе ТС.
 

Serj

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Наконец-то дошли руки до зараженной машины. Выложу сюда собранные логи, сообщения вымогателей (файлы Files encrypted и архив с hta файлом), тело вируса и пример зашифрованных файлов. Может все-таки получится расшифровать инфу.. Пароль на архив с телом вируса infected
 

Вложения

Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
По поводу расшифровки, то без вариантов, это Dharma (.cezar Family).

В логах ничего активного не видно.
 

Serj

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Логи надо бы посмотреть за 26-27 июля. В этот день произошло "заражение"..
Точно без вариантов? Антивирь определили вирус как Trojan-Ransom.Win32.Crusis.to. На сайте каспер.. написано, что у них есть дешифратор на него. Но там другие расширения файлов указаны.. Попробовал сменить расширение и загнать в дешифратор - не вышло, ругнулся..
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Там дешифровка старых версий. Как вариант попробуйте написать в службу поддержки ЛК, они часто не публикуют полученные ключи.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу