• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Прошу помощи шифровальщик mr.yoba@aol.com

A

alexzav

Новый пользователь
Сообщения
6
Реакции
1
Добрый день.
Прошу помощи, зашифровало машину с веб сервером.
Рухнули данные приложения за год - Плачем.

машина windows 7
Контакт - mr.yoba@aol.com
Тело вируса найти пока не мог.
Примеры файлов прикладываю
Спасибо.
 

Вложения

  • out.rar
    out.rar
    1.6 MB · Просмотры: 2
Это, что-то новенькое. Для анализа понадобиться время.
 
C:\Users\alexzav\Documents\iRpDxeCqgfM.html
C:\Users\alexzav\AppData\Roaming\iRpDxeCqgfM.html
C:\Program Files\iRpDxeCqgfM.html
C:\Users\alexzav\AppData\Roaming\fmaDHQotRPisYh.html
C:\Users\alexzav\AppData\Roaming\oPDWOPztETOqNhW.html
Нажмите для раскрытия...
прикрепите в архиве к следующему сообщению
 
Все удаленное управление ваше?
R2 RServer3; C:\Windows\system32\rserver30\RServer3.exe [1242504 2009-10-09] (Famatech International Corp. -> Famatech Corp.)
R2 RvControlSvc; C:\Program Files\Radmin VPN\RvControlSvc.exe [1029240 2019-07-24] (Famatech Corp. -> Famatech Corp.)
R2 TeamViewer; C:\Program Files\TeamViewer\TeamViewer_Service.exe [11969880 2019-07-03] (TeamViewer GmbH -> TeamViewer GmbH)

Смените пароли на Rdp

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Default\Documents\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Default\AppData\Roaming\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Default\AppData\Local\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Default\AppData\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Default\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Default User\Documents\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Default User\AppData\Roaming\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Default User\AppData\Local\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Default User\AppData\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Default User\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav_cron\Documents\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav_cron\AppData\Roaming\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav_cron\AppData\Local\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav_cron\AppData\%= RETURN FILES =&.html
2019-08-03 00:22 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav_cron\%= RETURN FILES =&.html
2019-08-03 00:21 - 2019-08-03 03:39 - 000005067 _____ C:\Users\%= RETURN FILES =&.html
2019-08-03 00:16 - 2019-08-03 03:39 - 000000141 _____ C:\Users\alexzav\AppData\Roaming\oPDWOPztETOqNhW.html
2019-08-03 00:15 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Все пользователи\Documents\%= RETURN FILES =&.html
2019-08-03 00:15 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Public\Documents\%= RETURN FILES =&.html
2019-08-03 00:15 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Public\%= RETURN FILES =&.html
2019-08-03 00:15 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav\Desktop\%= RETURN FILES =&.html
2019-08-03 00:15 - 2019-08-03 03:39 - 000005067 _____ C:\ProgramData\Documents\%= RETURN FILES =&.html
2019-08-03 00:12 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav\Downloads\%= RETURN FILES =&.html
2019-08-03 00:12 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav\Documents\%= RETURN FILES =&.html
2019-08-03 00:10 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav\AppData\Roaming\%= RETURN FILES =&.html
2019-08-03 00:10 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav\AppData\LocalLow\%= RETURN FILES =&.html
2019-08-03 00:08 - 2019-08-03 03:39 - 000005067 _____ C:\Users\Все пользователи\%= RETURN FILES =&.html
2019-08-03 00:08 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav\AppData\Local\%= RETURN FILES =&.html
2019-08-03 00:08 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav\AppData\%= RETURN FILES =&.html
2019-08-03 00:08 - 2019-08-03 03:39 - 000005067 _____ C:\Users\alexzav\%= RETURN FILES =&.html
2019-08-03 00:08 - 2019-08-03 03:39 - 000005067 _____ C:\ProgramData\%= RETURN FILES =&.html
2019-08-03 00:08 - 2019-08-03 03:38 - 000005067 _____ C:\Users\alexzav\AppData\Local\Apps\%= RETURN FILES =&.html
2019-08-03 00:01 - 2019-08-03 03:37 - 000005067 _____ C:\Program Files\Common Files\%= RETURN FILES =&.html
2019-08-02 23:56 - 2019-08-03 03:38 - 000005067 _____ C:\Program Files\%= RETURN FILES =&.html
2019-08-02 23:56 - 2019-08-03 03:38 - 000005067 _____ C:\%= RETURN FILES =&.html
2019-08-02 23:56 - 2019-08-03 03:38 - 000005067 _____ () C:\Program Files\%= RETURN FILES =&.html
2019-08-03 00:01 - 2019-08-03 03:37 - 000005067 _____ () C:\Program Files\Common Files\%= RETURN FILES =&.html
2019-08-03 00:10 - 2019-08-03 03:39 - 000005067 _____ () C:\Users\alexzav\AppData\Roaming\%= RETURN FILES =&.html
2019-08-03 00:10 - 2019-08-03 03:39 - 000005067 _____ () C:\Users\alexzav\AppData\Roaming\Microsoft\%= RETURN FILES =&.html
2019-08-03 00:08 - 2019-08-03 03:39 - 000005067 _____ () C:\Users\alexzav\AppData\Local\%= RETURN FILES =&.html
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.33.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.21.79\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}\localserver32 -> "C:\Users\alexzav\AppData\Local\Google\Update\1.3.33.23\GoogleUpdateOnDemand.exe" => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.30.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.31.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{62634D95-960B-4834-8E71-A70408AD8FD9}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.34.7\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.33.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{91A41FCC-BC02-42D8-A36E-0D27FF9BFFC8}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.33.7\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{A804CF1A-91E5-4F0C-9E8C-DB39E74056DD}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.33.23\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.32.7\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-3155642034-1856624960-1911307979-1000_Classes\CLSID\{EA724FD3-844D-43A9-A8C9-A5BC35FC20E4}\InprocServer32 -> C:\Users\alexzav\AppData\Local\Google\Update\1.3.33.17\psuser.dll => No File
ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => C:\Users\alexzav\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => C:\Users\alexzav\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => C:\Users\alexzav\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => C:\Users\alexzav\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ContextMenuHandlers3_S-1-5-21-3155642034-1856624960-1911307979-1000: [MailRuCloudContextMenu] -> {6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6} => C:\Users\alexzav\AppData\Local\Temp\mcse32_00.dll -> No File
FirewallRules: [TCP Query User{FA45E217-7565-4242-96D6-D3D868A3E054}D:\!_downloads\sdi_r423\sdi_r423\sdi_r423.exe] => (Block) D:\!_downloads\sdi_r423\sdi_r423\sdi_r423.exe No File
FirewallRules: [UDP Query User{6EFDF9B2-4DD8-4656-9561-763B3ACCCA12}D:\!_downloads\sdi_r423\sdi_r423\sdi_r423.exe] => (Block) D:\!_downloads\sdi_r423\sdi_r423\sdi_r423.exe No File
FirewallRules: [TCP Query User{7868DD69-62A3-43F7-8338-A704E044D8D5}F:\install\драйвера\sdi_update\sdi_r326.exe] => (Allow) F:\install\драйвера\sdi_update\sdi_r326.exe No File
FirewallRules: [UDP Query User{9723EE30-D0E0-4CF9-A120-D9E455266394}F:\install\драйвера\sdi_update\sdi_r326.exe] => (Allow) F:\install\драйвера\sdi_update\sdi_r326.exe No File
FirewallRules: [TCP Query User{DD6F3926-4BB3-4CCC-9600-857678E472D8}C:\program files\cmsclient\cmsclient.exe] => (Allow) C:\program files\cmsclient\cmsclient.exe No File
FirewallRules: [UDP Query User{0677C17A-283D-4953-975B-E7249B42054E}C:\program files\cmsclient\cmsclient.exe] => (Allow) C:\program files\cmsclient\cmsclient.exe No File
FirewallRules: [TCP Query User{34D1EB76-2BC3-4393-A535-59B153D9C565}D:\ospanel\modules\database\mysql-5.6\bin\mysqld.exe] => (Allow) D:\ospanel\modules\database\mysql-5.6\bin\mysqld.exe No File
FirewallRules: [UDP Query User{4C8F6494-B2DD-4C2D-9F78-64F64E44BCDE}D:\ospanel\modules\database\mysql-5.6\bin\mysqld.exe] => (Allow) D:\ospanel\modules\database\mysql-5.6\bin\mysqld.exe No File
FirewallRules: [TCP Query User{5EF62DB4-305E-4723-BFE2-A3A657EB34C8}D:\ospanel\modules\database\mysql-5.6\bin\mysqld.exe] => (Allow) D:\ospanel\modules\database\mysql-5.6\bin\mysqld.exe No File
FirewallRules: [UDP Query User{BD1B120C-5848-4380-B3BC-29804A3B063A}D:\ospanel\modules\database\mysql-5.6\bin\mysqld.exe] => (Allow) D:\ospanel\modules\database\mysql-5.6\bin\mysqld.exe No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
1) программы удаленного доступа все мои.,
R2 RServer3; C:\Windows\system32\rserver30\RServer3.exe [1242504 2009-10-09] (Famatech International Corp. -> Famatech Corp.)
R2 RvControlSvc; C:\Program Files\Radmin VPN\RvControlSvc.exe [1029240 2019-07-24] (Famatech Corp. -> Famatech Corp.)
R2 TeamViewer; C:\Program Files\TeamViewer\TeamViewer_Service.exe [11969880 2019-07-03] (TeamViewer GmbH -> TeamViewer GmbH)

2) файлы запрошенные прикладываю
C:\Users\alexzav\Documents\iRpDxeCqgfM.html
C:\Users\alexzav\AppData\Roaming\iRpDxeCqgfM.html
C:\Program Files\iRpDxeCqgfM.html
C:\Users\alexzav\AppData\Roaming\fmaDHQotRPisYh.html
C:\Users\alexzav\AppData\Roaming\oPDWOPztETOqNhW.html

3) не знаю накосячил или нет - запустил FRST - без скрипта (может он почистил временные файлы?)
приложил скрипт первого запуска FIX (без скрипта )и второго со скриптом
 

Вложения

  • out2.rar
    out2.rar
    17.7 KB · Просмотры: 2
TEMP`ы были почищены утилитой, восстанавливаю через r-studio.
в поисках ТЕЛА
 
В этой версии тело удаляется после шифрования автоматом, если получится восстановить, то было бы отлично.
 
Подскажите, по логам понятно где искать тело и по каким параметрам ( папка, расширение, имя)?
 
Тело можете не искать. Его нам выдали сами злоумышленники
 
Я не могу понять как прошло инфицирование.
Скачанным файлом, получением пароля пользователя или какая-то уязвимость?
Хочется понять,чтобы уделить этому внимание в будущем.
PS: Хотя теперь понятно, что схема построения инфо систем и ОС будет по другому. :))
 
Если схема не поменялась (а скорее всего нет), то вход идет через RDP (брут или уязвимость). Так, что в финале нужно будет сменить пароли на вход, в идеале скрыть RDP за VPN.
 
Предварительный анализ завершили, с расшифровкой помочь не получится.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

S
  • Закрыта
Закрыто Поймали шифровальщик на сервер(ах). Прошу помощи.
Ответы
10
Просмотры
2K
akok
akok
A
Прошу Вас о помощи. Помогите, пожалуйста.
Ответы
0
Просмотры
181
avesemov
A
R
  • Закрыта
Решена Вновь словил майнера, прошу помощи!
Ответы
16
Просмотры
945
akok
akok
Назад
Сверху Снизу