Решена без расшифровки Сервер поймал вирус-шифровальщик tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@D853-5DE9...

[TrifonovAlexey]

Файловый сервер поймал вирус тапок@tuta. В 9 утра пользователи заметили, что на диски все файлы с именем как в теме. Пока разбирался, что откуда вирус зашифровал часть данных. На сервере был запущен RDP сеанс с Админской учеткой, пароль на на ней поменяли. Я не смог подключиться. Выключил сервер, зашел под другой учетной записью. Логи прилагаю по инструкции. Сервер не имеет доступа в интернет, айпишник заблочен на шлюзе. Можно ли далее эксплуатировать эту операционную систему Win Servr Standard 2008 sp2? После атаки поменял все админские пароли. Антивирус, который стоял на серевере Nod 32 успел снести до того как прочитал рекомендации на вашем сайте. На сервере была настроена архивация. 4 января перестала выполняться. Возможно ли что шифровальщик отключил архивацию данных.

 

[akok]

Возможно ли что шифровальщик отключил архивацию данных.

Скорее всего кто-то имел доступ и он же отключил резервное копирование.

 

[akok]

Можно ли далее эксплуатировать эту операционную систему Win Servr Standard 2008 sp2?

При условии обновления паролей и софта, но если есть возможность установите более свежую версию. Ибо поддержка от MS заканчивается 14.01.2020.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


++ прикрепите записку от вымогателей + пару небольших зашифрованных файлов, нужно убедиться, что это Cryakl

 

[TrifonovAlexey]

При условии обновления паролей и софта, но если есть возможность установите более свежую версию. Ибо поддержка от MS заканчивается 14.01.2020.

Антивирус сейчас ставлю Kaspersky Endpoint Security. Какой еще софт необходимо обновить?

Узнал что был настроен проброс портов на шлюзе, теперь понятно как смогли запустить RDP. А каким образом возможна кража пароля админа? Может быть вероятность заражение других ПК? Файлы прикладываю. Я правильно понимаю, что дешифрация невозможна при заражении этим вирусом?

 

[akok]

невозможна при заражении этим вирусом?

Все верно, это действительно Крякл. К нему расшифровщика пока нет.

А каким образом возможна кража пароля админа? Может быть вероятность заражение других ПК?

Устаревший софт, не установленная заплатка безопасности, открытый файл из сети, взлом другой машины и ручной поиск в сети сервера, включенный SMB1. Единый пароль админа для текущей работы и администрирования... и еще 10 000 предположений.
Или банально на флешке занесли (HKU\S-1-5-21-1908485108-3414379898-2313891871-1123\...\MountPoints2: {ad5faf6d-1c9a-11e9-b000-002618362e4f} - H:\AutoRun.exe)

Порты сами открывали?
FirewallRules: [{931C86F1-BC82-4736-AB6A-60127BEECD79}] => (Allow) LPort=475
FirewallRules: [{8205E5F7-4A8D-4435-B4C5-DEE0E3C48FCC}] => (Allow) LPort=475

LiteManager - используете? Если да, то скрипт выполнять не нужно.

• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  FirewallRules: [{EDCA57A8-571C-4CF9-A7A8-130FDC4F2F02}] => (Allow) C:\Users\Макаров\AppData\Roaming\WinShellServer\romserver.exe No File
  FirewallRules: [{B45331B0-7B69-4414-B709-C568DE5F5309}] => (Allow) C:\Users\Макаров\AppData\Roaming\WinShellServer\romfusclient.exe No File
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите сами когда будет возможность
Подробнее читайте в этом руководстве.

 

[TrifonovAlexey]

Порты сами открывали?
FirewallRules: [{931C86F1-BC82-4736-AB6A-60127BEECD79}] => (Allow) LPort=475
FirewallRules: [{8205E5F7-4A8D-4435-B4C5-DEE0E3C48FCC}] => (Allow) LPort=475

Нет. Возможно, предыдущий администратор. А для чего данные порты могли использоваться?

LiteManager - используете? Если да, то скрипт выполнять не нужно.

Не используется. Код выполнил.

Подскажите, пожалуйста, возможно ли, что в ближайшем будущем будет дешифратор от этого вируса или можно дальше жить с грустными глазами?

 

[akok]

А для чего данные порты могли использоваться?

Судя по вики
475/TCP,UDPTCPNETHASPSRV (HASP services, TCP/IP version).

Подскажите, пожалуйста, возможно ли, что в ближайшем будущем будет дешифратор от этого вируса или можно дальше жить с грустными глазами?

Никто точно не скажет, но зашифрованные файлы лучше сохранить отдельно.... на всякий случай.

Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

 

[TrifonovAlexey]

Подскажите, какова вероятность расшифровки дешифратором самих злоумышленников? Точно ли все файлы восстановятся? Есть такие данные?
И спасибо, Вам большое за то, что вы делаете.

 

[akok]

Подскажите, какова вероятность расшифровки дешифратором самих злоумышленников?

Тут рулетка, как выгорит. Обычно можно запросить тестовую расшифровку

Для примера
https://safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578/

 

[TrifonovAlexey]

Добрый день! Ответ Лаборатории Касперского на запрос расшифровки:

Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl.
К сожалению, на данный момент расшифровка невозможна. Однако троян шифрует только первые 50Кб каждого файла, поэтому возможно, что какие-либо сторонние утилиты смогут восстановить повреждённые файлы определённых форматов.

Также обращаем Ваше внимание, что, по нашим данным, злоумышленники могут использовать подбор паролей RDP чтобы получить доступ к машине жертвы и вручную запустить на ней шифровальщик, поэтому во избежание повторного заражения, пожалуйста, смените пароль для удалённого доступа.

Не подскажите, какой софт может восстановить подобные повреждения файла? В какую сторону смотреть? И у меня был именно подбор пароля RDP, так что, читающие эту тему случайно, меняйте пароли и не пробрасывайте порты для доступа на сервер)

 

[akok]

Уточню у коллег, может, посоветуют.