• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик Win32/Filecoder.EQ (Eset)

Статус
В этой теме нельзя размещать новые ответы.

danielgdda

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Здравствуйте. Собственно на праздниках ломанули сервер. Видимо случай аналогичный https://safezone.cc/threads/zashifrovali-fajly-trojan-encoder-567.34189/
После перезагрузки Eset обнаружил Win32/Neshta.A и собственно Win32/Filecoder.EQ
Файлы сделал по инструкции, плюс отдельно лог Eset
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,690
Реакции
2,062
Баллы
643

danielgdda

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Пролечил диском Касперского, спасибо за помощь. Логи после лечения в аттаче.
Сама система вроде норм пережила всё, но вот софт, типа 7zip и eset надо переставлять. Антивирус вообще работает не пойми как, из списка установленных программ он исчез, слетела лицензия, интерфейс не весь активен - но работает судя по всему )) Cobian Backup не даёт себя удалить, видимо часть его файлов зашифрована и просто не нажимаются кнопки.
Главное - получилось обмануть шифровальщика: у меня архивы в zip файлах и судя по всему зашифрован там маленький кусочек - то есть из всей файлопомойки пара файлов битых в начале, а остальное всё получилось извлечь. Мало ли кому поможет эта информация...
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
2020-01-04 19:44 - 2018-01-15 02:56 - 000000028 _____ C:\Users\URA\Documents\Shadow.bat - ваше?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-759500056-1391584511-1706270507-1103\...\Run: [2153820351] => C:\Users\danielgd\AppData\Local\Temp\svcimq.exe <==== ATTENTION
    C:\Users\danielgd\AppData\Local\Temp\svcimq.exe
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\URA\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\URA\Downloads\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\URA\Documents\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\URA\Desktop\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\URA\AppData\Roaming\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\URA\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\URA\AppData\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\URA\AppData\LocalLow\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\URA\AppData\Local\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Public\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Public\Downloads\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default\Downloads\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default\Documents\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default\Desktop\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default\AppData\Roaming\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default\AppData\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default\AppData\Local\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default User\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default User\Downloads\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default User\Documents\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default User\Desktop\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default User\AppData\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\Default User\AppData\Local\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\danielgd\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\danielgd\Documents\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\danielgd\AppData\Roaming\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\danielgd\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\danielgd\AppData\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ C:\Users\danielgd\AppData\LocalLow\README.txt
    2020-01-04 19:48 - 2020-01-04 19:48 - 000000084 _____ C:\Users\danielgd\AppData\Local\README.txt
    2020-01-04 19:48 - 2020-01-04 19:48 - 000000084 _____ C:\Users\Administrator\README.txt
    2020-01-04 19:48 - 2020-01-04 19:48 - 000000084 _____ C:\Users\Administrator\Downloads\README.txt
    2020-01-04 19:48 - 2020-01-04 19:48 - 000000084 _____ C:\Users\Administrator\Documents\README.txt
    2020-01-04 19:48 - 2020-01-04 19:48 - 000000084 _____ C:\Users\Administrator\Desktop\README.txt
    2020-01-04 19:48 - 2020-01-04 19:48 - 000000084 _____ C:\Users\Administrator\AppData\Roaming\README.txt
    2020-01-04 19:48 - 2020-01-04 19:48 - 000000084 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-01-04 19:48 - 2020-01-04 19:48 - 000000084 _____ C:\Users\Administrator\AppData\README.txt
    2020-01-04 19:48 - 2020-01-04 19:48 - 000000084 _____ C:\Users\Administrator\AppData\LocalLow\README.txt
    2020-01-04 19:47 - 2020-01-04 19:47 - 000000084 _____ C:\Users\Administrator\AppData\Local\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ C:\Users\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ C:\Users\Public\Documents\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ C:\ProgramData\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ C:\ProgramData\Documents\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ C:\Program Files\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ C:\Program Files\Common Files\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ C:\Program Files (x86)\README.txt
    2020-01-04 19:22 - 2020-01-04 19:22 - 000000000 _____ C:\Windows\svchost.com
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ () C:\Program Files\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ () C:\Program Files (x86)\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ () C:\Program Files\Common Files\README.txt
    2020-01-04 19:46 - 2020-01-04 19:46 - 000000084 _____ () C:\Program Files (x86)\Common Files\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ () C:\Users\danielgd\AppData\Roaming\README.txt
    2020-01-04 20:02 - 2020-01-04 20:02 - 000000084 _____ () C:\Users\danielgd\AppData\Roaming\Microsoft\README.txt
    2020-01-04 19:48 - 2020-01-04 19:48 - 000000084 _____ () C:\Users\danielgd\AppData\Local\README.txt
    EmptyTemp:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Последнее редактирование модератором:

danielgdda

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
2020-01-04 19:44 - 2018-01-15 02:56 - 000000028 _____ C:\Users\URA\Documents\Shadow.bat - ваше?
Нет, это же батник для удаления теневых копий? Видимо при заражении сделали. Я вообще планировал весь этот профиль убрать - через эту учётку и проникли по rdp на праздниках... пароль сменил, админские права убрал.
 

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
Ос обновите... как минимум накатите патчи безопасности.
это же батник для удаления теневых копий?
Скорее всего, откройте в блокноте и проверьте. Если оно, то удалите.
 

danielgdda

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Ос обновите... как минимум накатите патчи безопасности.
Да как бы все обновы, кроме последних декабрьских и так были поставлены...
Фикс выполнил.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,690
Реакции
2,062
Баллы
643
Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 

danielgdda

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Часто используемые уязвимости не обнаружены.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу