• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Поймали шифровальщик на сервер(ах). Прошу помощи.

Статус
В этой теме нельзя размещать новые ответы.

Serj

Новый пользователь
Сообщения
5
Реакции
0
В настоящее время нахожусь в командировке на удаленном объекте за 1000км от офиса. Позвонили с офиса, сказали что не могут залогиниться на сервер 1с (по rdp), вылетала ошибка службы профилей.
Зацепился сам, через впн на другой сервак. С него начал ковырять проблему на 1С-ном сервере. После танцев с бубнами, редактированием реестра, подменой дефолтного юзер. профиля смог зацепится по рдп на сервак 1С и вылетел баннер с том, что данные зашифрованы...
Практически в этот же момент мне успели сообщить, что не могут открыть данные на шарах файл сервера (это другой физический сервак) и прислали фото шары, где видно, что файлы переименованы, и с учетом описанного выше, зашифрованы..
Учитывая что нахожусь за 1000км от всего этого, интернет только через спутник, единственно решение было принято срочно вырубить все сервера. (6 шт).
Пока на "руках" есть только фотка с банером.
Товарищи, прошу только сильно не пинайте, может где-то на эмоциях от того, что вернусь в город через сутки, а еще через двое мне уезжать в отпуск, а тут вот это вот произошло, может из-за того, что в последние несколько лет занимался немного другим направлением - могу "тупить".
Источник проблемы пока не выяснен. По пользовательским ПК, а там зоопарк Win7, 10, MacOS, пока не возникло ни у кого проблем. Следовательно могу предположить, что шифровальщик попал "напрямую" на сервер или сервера... И да, косяк в том, что был временно открыт рдп наружу (такие мелочи как смена порта, политика сложных паролей, блокировка учеток после неудачных попыток, обновления и т.п. сделаны).
Все серверы на Win Server 2008R2. Пользовательских ПК порядка 40 шт.
Прошу направить меня и посоветовать какие шаги принять по приезду. То, что "лег" сервер 1С не сильно печалюсь, там по факту крутился сам 1С сервер. А вот то, что данные на файловом сервере зашифрованы очень тревожит. Т.к. помимо важных данных, там еще крутился MS SQL Server, а на нем базы 1С... Базы конечно бэкапились ежедневно, но что-то предчувствую, что и туда шифровщик добрался.
Собственно вопросы:
1. какую выстроить цепочку действий, чтобы не зависнуть с возобновлением работы сети на неделю и более. Стоит ли пытаться найти источник заражения, и какие варианты для этого есть?
2. С чего лучше загрузиться для сканирования сервером на наличие непосредственно вируса? (сервера старые добрые IBM System 3250, со своими премудростями по загрузке с чего-то)
3. Чем лучше прогнать сервера и клиентские пк (на всякий пожарный) для поиска вируса?
4. Есть ли смысл "поднять с колен" зараженные системы, или "ставить с нуля"?
5. Возможно ли данные попытаться дешифровать?

Еще раз прошу извинить за вопросы, на которые вполне возможно можно найти ответы в гугле и т.д. Но за неимением времени, стабильного канала интернет, и учитывая ваш опыт, надеюсь с вашей помощью от проблемы быстрее избавлюсь...
 

Вложения

  • Screen (foto).jpeg
    Screen (foto).jpeg
    74.6 KB · Просмотры: 133
1. Взлом был через RDP скорее всего, так что смена паролей обязательна, и стоит скрыть RDP за VPN
2. Если сервер зашифрован полностью, то без разницы. Можно запускать и зараженную ОС, а вот останется ли шифровальщик в автозапуске, вопрос. Нужно смотреть в логи.... хотя любой топовый антивирус скорее всего детектит шифровальщик. Попробуйте прогнать сканером.
2.1. А если остановили в процессе шифрования, то можно восстановить данные из теневых копий и тут понадобиться LiveCD (лучше перебдеть)
3. Любой антивирусный сканер
4. Нужно глянуть в логи, но лучше апнуть ОС на более свежие версии. Есть версии которые самоудаляются, а есть которые оставляют другую полезную нагрузку или прописываются в автозапуск.
5. Нужно посмотреть на нескольких небольших зашифрованных файлах.
 
Последнее редактирование модератором:
Спасибо за ответ! Вот добрался до серверов, сейчас качаю утилиты "топовых" антивирусов, попробую с них загрузиться и проверить.
Есть смысл собрать потом логи с помощью AutoLogger.exe, и сюда скинуть?
 
Пока на одном из серверов выловил тело вируса. Могу прислать в зашифрованном архиве? Нужно? Каспер написал что это Trojan-Ransom.Win32.Crusis.to.
Зашифрованные файлы можно выложить сюда или создать отдельную тему по помощи в расшифровке?
1. Взлом был через RDP скорее всего, так что смена паролей обязательна, и стоит скрыть RDP за VPN
2. Если сервер зашифрован полностью, то без разницы. Можно запускать и зараженную ОС, а вот останется ли шифровальщик в автозапуске, вопрос. Нужно смотреть в логи.... хотя любой топовый антивирус скорее всего детектит шифровальщик. Попробуйте прогнать сканером.
2.1. А если остановили в процессе шифрования, то можно восстановить данные из теневых копий и тут понадобиться LiveCD (лучше перебдеть)
3. Любой антивирусный сканер
4. Нужно глянуть в логи, но лучше апнуть ОС на более свежие версии. Есть версии которые самоудаляются, а есть которые оставляют другую полезную нагрузку или прописываются в автозапуск.
5. Нужно посмотреть на нескольких небольших зашифрованных файлах.
 
Увы, расшифровки ни одного из многочисленных вариантов этого шифратора нет ни у одной антивирусной компании.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Открыта по просьбе ТС.
 
Наконец-то дошли руки до зараженной машины. Выложу сюда собранные логи, сообщения вымогателей (файлы Files encrypted и архив с hta файлом), тело вируса и пример зашифрованных файлов. Может все-таки получится расшифровать инфу.. Пароль на архив с телом вируса infected
 

Вложения

  • FRST.txt
    320.7 KB · Просмотры: 1
  • Addition.txt
    28.9 KB · Просмотры: 2
  • FILES ENCRYPTED.txt
    172 байт · Просмотры: 1
  • сообщение вымогателей Info.rar
    5.2 KB · Просмотры: 2
  • Sample crypt files.rar
    743.9 KB · Просмотры: 1
Последнее редактирование модератором:
По поводу расшифровки, то без вариантов, это Dharma (.cezar Family).

В логах ничего активного не видно.
 
Логи надо бы посмотреть за 26-27 июля. В этот день произошло "заражение"..
Точно без вариантов? Антивирь определили вирус как Trojan-Ransom.Win32.Crusis.to. На сайте каспер.. написано, что у них есть дешифратор на него. Но там другие расширения файлов указаны.. Попробовал сменить расширение и загнать в дешифратор - не вышло, ругнулся..
 
Там дешифровка старых версий. Как вариант попробуйте написать в службу поддержки ЛК, они часто не публикуют полученные ключи.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу