Решена с расшифровкой. Словили шифровальщик sugarman@tutamail.com

Nikonirov · 8 Июл 2019

Добрый день, у моей знакомой зашифровали сервер, похоже тоже проникли через RDP, несмотря на нестандартный проброшенный порт. Остальные компы на ночь были выключены, поэтому пострадал только сервер. Так как есть прямой доступ к серверу, то через специальные возможности смог запустить консоль управления и сменив пароль администратора(встроенного) смог залогиниться в систему , поскольку все остальные пользователи и администраторы были отключены групповыми политиками. После логина обнаружил запущенную программу энкриптора уже отработавшего. Encryptor1.5.2.0.vis

akok · 8 Июл 2019

Проверьте ЛС

akok · 8 Июл 2019

Смените пароли на RDP + пересмотрите список пользователей в системе, нет ли лишних.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
() [File not signed] C:\Users\Administrator.NAS-NEW\Desktop\manual06.07.exe
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\Downloads\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\Documents\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\Desktop\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\AppData\Roaming\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\AppData\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\AppData\LocalLow\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\AppData\Local\Temp\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Public\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Public\Downloads\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\Downloads\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\Documents\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\Desktop\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\AppData\Roaming\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\AppData\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\AppData\LocalLow\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\AppData\Local\Temp\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\Downloads\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\Documents\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\Desktop\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\AppData\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\AppData\Local\Temp\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\Documents\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\AppData\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\Downloads\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\Documents\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\Desktop\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\AppData\Roaming\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\AppData\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\AppData\LocalLow\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\AppData\Local\Temp\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\Downloads\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\Documents\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\Desktop\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\AppData\Roaming\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\AppData\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\AppData\LocalLow\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\AppData\Local\Temp\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Administrator.NAS-NEW\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Administrator.NAS-NEW\Downloads\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Administrator.NAS-NEW\Documents\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Administrator.NAS-NEW\Desktop\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Administrator.NAS-NEW\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\Downloads\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\Documents\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\Desktop\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\AppData\Roaming\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\AppData\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\AppData\LocalLow\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\AppData\Local\Temp\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.NAS-NEW\AppData\Roaming\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.NAS-NEW\AppData\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.NAS-NEW\AppData\LocalLow\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.NAS-NEW\AppData\Local\Temp\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\Downloads\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\Documents\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\Desktop\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\AppData\Roaming\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\AppData\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\AppData\LocalLow\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\AppData\Local\Temp\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\Downloads\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\Documents\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\Desktop\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\AppData\Roaming\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\AppData\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\AppData\LocalLow\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\AppData\Local\Temp\README.txt
2019-07-07 22:33 - 2019-07-07 22:33 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-07-07 22:28 - 2019-07-07 22:35 - 000000785 _____ C:\Users\Public\Documents\email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-README.txt.cs16
2019-07-07 22:28 - 2019-07-07 22:35 - 000000785 _____ C:\Users\Public\Desktop\email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-README.txt.cs16
2019-07-07 22:28 - 2019-07-07 22:35 - 000000785 _____ C:\ProgramData\email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-README.txt.cs16
2019-07-07 22:28 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Public\Documents\README.txt
2019-07-07 22:28 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Public\Desktop\README.txt
2019-07-07 22:28 - 2019-07-07 22:35 - 000000069 _____ C:\ProgramData\README.txt
2019-07-07 22:28 - 2019-07-07 22:28 - 000000069 _____ C:\Program Files (x86)\README.txt
2019-07-07 22:24 - 2019-07-07 22:35 - 000000785 _____ C:\Users\email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-README.txt.cs16
2019-07-07 22:24 - 2019-07-07 22:24 - 000000069 _____ C:\Program Files\README.txt
2019-07-07 22:24 - 2019-07-07 22:24 - 000000069 _____ C:\Program Files\Common Files\README.txt
2019-07-07 22:24 - 2019-07-07 22:24 - 000000069 _____ () C:\Program Files\README.txt
2019-07-07 22:28 - 2019-07-07 22:28 - 000000069 _____ () C:\Program Files (x86)\README.txt
2019-07-07 22:24 - 2019-07-07 22:24 - 000000069 _____ () C:\Program Files\Common Files\README.txt
2019-07-07 22:25 - 2019-07-07 22:25 - 000000069 _____ () C:\Program Files (x86)\Common Files\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ () C:\Users\Administrator.NAS-NEW\AppData\Roaming\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ () C:\Users\Administrator.NAS-NEW\AppData\Roaming\Microsoft\README.txt
2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ () C:\Users\Administrator.NAS-NEW\AppData\Local\README.txt
FirewallRules: [{5A24ABCD-EE00-41FE-863D-18C98B559A60}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\bin\FaxApplications.exe No File
FirewallRules: [{CD4F8F3F-4A4F-4C96-96E3-74052FF310D5}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\bin\DigitalWizards.exe No File
FirewallRules: [{9C30D8F6-CB8C-42E3-93E3-4152D2CA6DDB}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\bin\SendAFax.exe No File
FirewallRules: [{B80A30A7-E0F9-43B6-99D9-695C85542C1E}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\Bin\DeviceSetup.exe No File
FirewallRules: [{A7732C5B-4052-426D-85A1-C43A0D2BE32B}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\Bin\HPNetworkCommunicator.exe No File
FirewallRules: [{40183929-BBDB-4071-AE32-D686B6CAB62F}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\Bin\HPNetworkCommunicatorCom.exe No File
FirewallRules: [{33025700-C6D3-42CA-A03C-5399B8AC8AB7}] => (Allow) C:\Program Files (x86)\PRTG Network Monitor\64 bit\PRTG Server.exe No File
FirewallRules: [{F1322DA1-9F37-419A-A7D1-A148D61B78CF}] => (Allow) C:\Program Files (x86)\PRTG Network Monitor\PRTG Server.exe No File
FirewallRules: [{605B3B02-4D56-4B98-80B0-D5962700D692}] => (Allow) C:\Program Files (x86)\PRTG Network Monitor\PRTG Probe.exe No File
FirewallRules: [{EE8DF765-A4E0-4151-9788-26C4502D326A}] => (Allow) C:\Program Files (x86)\PRTG Network Monitor\PRTG Server Administrator.exe No File
FirewallRules: [{86898DF8-69C4-4679-836F-ADD6AE9B4004}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\lync.exe No File
FirewallRules: [{27175C54-1614-492B-9235-F135E5BB199E}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\lync.exe No File
FirewallRules: [{D94D1FF4-1875-4781-BA3E-C3B699778D25}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\UcMapi.exe No File
FirewallRules: [{F2DD6513-4B8C-4EBC-ADD2-E84870F7B377}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\UcMapi.exe No File
2019-07-07 22:18 - 2019-07-06 15:20 - 000478720 _____ C:\Users\Administrator.NAS-NEW\Desktop\manual06.07.exe
2019-07-07 22:19 - 2019-07-07 22:34 - 000000000 ____D C:\Users\Administrator.NAS-NEW\AppData\Roaming\Process Hacker 2
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Nikonirov · 8 Июл 2019

Так как , рдп доступ нужен был для бухгалтера, то я сейчас на роутере отключил проброс портов, соответственно RDP сейчас закрыт.

Nikonirov · 8 Июл 2019

Файлы расшифровались. Большое спасибо.

akok · 8 Июл 2019

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Ознакомьтесь: Рекомендации после лечения

Решена с расшифровкой. Словили шифровальщик sugarman@tutamail.com

Nikonirov

Новый пользователь

Вложения

akok

akok

Nikonirov

Новый пользователь

Вложения

Nikonirov

Новый пользователь

akok

Похожие темы