• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Расшифровка файлов email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-ИМЯ ФАЙЛА.doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
11
Здравствуйте! На сервере с win2003 хорошо поработал шифровальщик. Все данные на диске d были зашифрованы с именем email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-ИМЯ ФАЙЛА.doubleoffset. Системный диск был не тронут. Шифровальщик не нашел. Никаких манипуляций на сервере пока не производил. Прикрепляю два архива с отчетом AutoLogger и пример зашифрованного файла+оригинал файла+файл с требованием.
 

Вложения

  • CollectionLog-2019.06.27-23.25.zip
    48.7 KB · Просмотры: 3
  • пример зашифрованного файла+ исходник+треб.zip
    20.9 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
20,046
Реакции
13,702
Баллы
2,203
Атака на сервер была с другой машины?

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
11
virusinfo_files_SRV.zip закачал согласно инструкции
MD5:1F66CAD3E6EC37E185F42FE01BA221F4
FRST.txt, Addition.txt прикрепил
 

Вложения

  • Addition.txt
    83.7 KB · Просмотры: 1
  • FRST.txt
    25.7 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,810
Реакции
2,347
Баллы
653
Последнее редактирование:

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
11
Извиняюсь, вероятно да, т.к. сервер в основном используется через RDP, файлы readme и зашифрованные лежат на логическом диске D. Повторить процесс с диска D? Запускал AVZ и FarBar c системного диска C.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,810
Реакции
2,347
Баллы
653
Не нужно.
Нужно срочно сменить пароль на RDP и попытаться выявить компьютер, на котором произошло заражение.
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
11
Как быть с расшифровкой файлов? И каким образом выявить компьютер на котором произошло заражение?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,810
Реакции
2,347
Баллы
653
Как быть с расшифровкой файлов?
Сначала нужно определить источник. Вы же не хотите восстановить файлы и тут же их снова потерять.

каким образом выявить компьютер
По наличию в разных папках файла readme.txt
сменить пароль на RDP
По клиентским компьютерам пройтись каким-либо антивирусным сканером (KVRT или Cureit).
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
11
"Сначала нужно определить источник. Вы же не хотите восстановить файлы и тут же их снова потерять. "
Согласен, но с этим существует определенная сложность в плане доступа к компьютерам, часть из них находится в разных городах, местные я проверю. Как вариант, можно попробовать всех отключить, восстановить файлы-сделаю бэкапы (архивы баз) на внешние носители, далее по запросам пользователей сначала проверяю их компьютеры, если чистый-подключаю?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,810
Реакции
2,347
Баллы
653
Проверьте ЛС.
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
11
"Проверьте ЛС " в смысле локальную сеть?
 

akok

Команда форума
Администратор
Сообщения
20,046
Реакции
13,702
Баллы
2,203
Личное сообщение.
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
11
Добрый день! Большое спасибо! Все удалось расшифровать, пользователей отключил временно, единственный момент утилита работает под windows 7, более старые версии как-то не дружат с ней. Просканировал drweb, прикрепляю отчет. есть там manual.exe Trojan.Encoder.567 от 26 числа. Это случайно не этот самый шифровальщик?
 

Вложения

  • список.png
    список.png
    8.4 KB · Просмотры: 53

akok

Команда форума
Администратор
Сообщения
20,046
Реакции
13,702
Баллы
2,203
Он самый, удаляйте. Тему отмечаю решенной.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Ознакомьтесь: Рекомендации после лечения
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
11
Понял, еще раз Большое спасибо!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу