• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Сервер поймал вирус-шифровальщик tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@D853-5DE9...

Статус
В этой теме нельзя размещать новые ответы.

TrifonovAlexey

Новый пользователь
Сообщения
5
Реакции
1
Файловый сервер поймал вирус тапок@tuta. В 9 утра пользователи заметили, что на диски все файлы с именем как в теме. Пока разбирался, что откуда вирус зашифровал часть данных. На сервере был запущен RDP сеанс с Админской учеткой, пароль на на ней поменяли. Я не смог подключиться. Выключил сервер, зашел под другой учетной записью. Логи прилагаю по инструкции. Сервер не имеет доступа в интернет, айпишник заблочен на шлюзе. Можно ли далее эксплуатировать эту операционную систему Win Servr Standard 2008 sp2? После атаки поменял все админские пароли. Антивирус, который стоял на серевере Nod 32 успел снести до того как прочитал рекомендации на вашем сайте. На сервере была настроена архивация. 4 января перестала выполняться. Возможно ли что шифровальщик отключил архивацию данных.
 

Вложения

Можно ли далее эксплуатировать эту операционную систему Win Servr Standard 2008 sp2?
При условии обновления паролей и софта, но если есть возможность установите более свежую версию. Ибо поддержка от MS заканчивается 14.01.2020.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


++ прикрепите записку от вымогателей + пару небольших зашифрованных файлов, нужно убедиться, что это Cryakl
 
При условии обновления паролей и софта, но если есть возможность установите более свежую версию. Ибо поддержка от MS заканчивается 14.01.2020.
Антивирус сейчас ставлю Kaspersky Endpoint Security. Какой еще софт необходимо обновить?

Узнал что был настроен проброс портов на шлюзе, теперь понятно как смогли запустить RDP. А каким образом возможна кража пароля админа? Может быть вероятность заражение других ПК? Файлы прикладываю. Я правильно понимаю, что дешифрация невозможна при заражении этим вирусом?
 

Вложения

невозможна при заражении этим вирусом?
Все верно, это действительно Крякл. К нему расшифровщика пока нет.

А каким образом возможна кража пароля админа? Может быть вероятность заражение других ПК?
Устаревший софт, не установленная заплатка безопасности, открытый файл из сети, взлом другой машины и ручной поиск в сети сервера, включенный SMB1. Единый пароль админа для текущей работы и администрирования... и еще 10 000 предположений.
Или банально на флешке занесли (HKU\S-1-5-21-1908485108-3414379898-2313891871-1123\...\MountPoints2: {ad5faf6d-1c9a-11e9-b000-002618362e4f} - H:\AutoRun.exe)

Порты сами открывали?
FirewallRules: [{931C86F1-BC82-4736-AB6A-60127BEECD79}] => (Allow) LPort=475
FirewallRules: [{8205E5F7-4A8D-4435-B4C5-DEE0E3C48FCC}] => (Allow) LPort=475

LiteManager - используете? Если да, то скрипт выполнять не нужно.

  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FirewallRules: [{EDCA57A8-571C-4CF9-A7A8-130FDC4F2F02}] => (Allow) C:\Users\Макаров\AppData\Roaming\WinShellServer\romserver.exe No File
    FirewallRules: [{B45331B0-7B69-4414-B709-C568DE5F5309}] => (Allow) C:\Users\Макаров\AppData\Roaming\WinShellServer\romfusclient.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите сами когда будет возможность
Подробнее читайте в этом руководстве.
 
Порты сами открывали?
FirewallRules: [{931C86F1-BC82-4736-AB6A-60127BEECD79}] => (Allow) LPort=475
FirewallRules: [{8205E5F7-4A8D-4435-B4C5-DEE0E3C48FCC}] => (Allow) LPort=475

Нет. Возможно, предыдущий администратор. А для чего данные порты могли использоваться?

LiteManager - используете? Если да, то скрипт выполнять не нужно.

Не используется. Код выполнил.

Подскажите, пожалуйста, возможно ли, что в ближайшем будущем будет дешифратор от этого вируса или можно дальше жить с грустными глазами?
 

Вложения

А для чего данные порты могли использоваться?
Судя по вики
475/TCP,UDPTCPNETHASPSRV (HASP services, TCP/IP version).

Подскажите, пожалуйста, возможно ли, что в ближайшем будущем будет дешифратор от этого вируса или можно дальше жить с грустными глазами?
Никто точно не скажет, но зашифрованные файлы лучше сохранить отдельно.... на всякий случай.

Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения
 
Подскажите, какова вероятность расшифровки дешифратором самих злоумышленников? Точно ли все файлы восстановятся? Есть такие данные?
И спасибо, Вам большое за то, что вы делаете.
 
  • Like
Реакции: akok
Добрый день! Ответ Лаборатории Касперского на запрос расшифровки:

Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl.
К сожалению, на данный момент расшифровка невозможна. Однако троян шифрует только первые 50Кб каждого файла, поэтому возможно, что какие-либо сторонние утилиты смогут восстановить повреждённые файлы определённых форматов.

Также обращаем Ваше внимание, что, по нашим данным, злоумышленники могут использовать подбор паролей RDP чтобы получить доступ к машине жертвы и вручную запустить на ней шифровальщик, поэтому во избежание повторного заражения, пожалуйста, смените пароль для удалённого доступа.

Не подскажите, какой софт может восстановить подобные повреждения файла? В какую сторону смотреть? И у меня был именно подбор пароля RDP, так что, читающие эту тему случайно, меняйте пароли и не пробрасывайте порты для доступа на сервер)
 
Уточню у коллег, может, посоветуют.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу