• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Расшифровка файлов email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-ИМЯ ФАЙЛА.doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Здравствуйте! На сервере с win2003 хорошо поработал шифровальщик. Все данные на диске d были зашифрованы с именем email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-ИМЯ ФАЙЛА.doubleoffset. Системный диск был не тронут. Шифровальщик не нашел. Никаких манипуляций на сервере пока не производил. Прикрепляю два архива с отчетом AutoLogger и пример зашифрованного файла+оригинал файла+файл с требованием.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,608
Реакции
13,434
Баллы
2,203
Атака на сервер была с другой машины?

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
virusinfo_files_SRV.zip закачал согласно инструкции
MD5:1F66CAD3E6EC37E185F42FE01BA221F4
FRST.txt, Addition.txt прикрепил
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,389
Реакции
1,827
Баллы
563
Последнее редактирование:

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Извиняюсь, вероятно да, т.к. сервер в основном используется через RDP, файлы readme и зашифрованные лежат на логическом диске D. Повторить процесс с диска D? Запускал AVZ и FarBar c системного диска C.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,389
Реакции
1,827
Баллы
563
Не нужно.
Нужно срочно сменить пароль на RDP и попытаться выявить компьютер, на котором произошло заражение.
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Как быть с расшифровкой файлов? И каким образом выявить компьютер на котором произошло заражение?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,389
Реакции
1,827
Баллы
563
Как быть с расшифровкой файлов?
Сначала нужно определить источник. Вы же не хотите восстановить файлы и тут же их снова потерять.

каким образом выявить компьютер
По наличию в разных папках файла readme.txt
сменить пароль на RDP
По клиентским компьютерам пройтись каким-либо антивирусным сканером (KVRT или Cureit).
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
"Сначала нужно определить источник. Вы же не хотите восстановить файлы и тут же их снова потерять. "
Согласен, но с этим существует определенная сложность в плане доступа к компьютерам, часть из них находится в разных городах, местные я проверю. Как вариант, можно попробовать всех отключить, восстановить файлы-сделаю бэкапы (архивы баз) на внешние носители, далее по запросам пользователей сначала проверяю их компьютеры, если чистый-подключаю?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,389
Реакции
1,827
Баллы
563
Проверьте ЛС.
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
"Проверьте ЛС " в смысле локальную сеть?
 

akok

Команда форума
Администратор
Сообщения
17,608
Реакции
13,434
Баллы
2,203
Личное сообщение.
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Добрый день! Большое спасибо! Все удалось расшифровать, пользователей отключил временно, единственный момент утилита работает под windows 7, более старые версии как-то не дружат с ней. Просканировал drweb, прикрепляю отчет. есть там manual.exe Trojan.Encoder.567 от 26 числа. Это случайно не этот самый шифровальщик?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,608
Реакции
13,434
Баллы
2,203
Он самый, удаляйте. Тему отмечаю решенной.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Ознакомьтесь: Рекомендации после лечения
 

zsrgfr15

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Понял, еще раз Большое спасибо!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу