Решена с расшифровкой. Словили шифровальщик sugarman@tutamail.com

Nikonirov

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Добрый день, у моей знакомой зашифровали сервер, похоже тоже проникли через RDP, несмотря на нестандартный проброшенный порт. Остальные компы на ночь были выключены, поэтому пострадал только сервер. Так как есть прямой доступ к серверу, то через специальные возможности смог запустить консоль управления и сменив пароль администратора(встроенного) смог залогиниться в систему , поскольку все остальные пользователи и администраторы были отключены групповыми политиками. После логина обнаружил запущенную программу энкриптора уже отработавшего. Encryptor1.5.2.0.vis
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,480
Реакции
13,383
Баллы
2,203
Проверьте ЛС
 

akok

Команда форума
Администратор
Сообщения
17,480
Реакции
13,383
Баллы
2,203
Смените пароли на RDP + пересмотрите список пользователей в системе, нет ли лишних.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    () [File not signed] C:\Users\Administrator.NAS-NEW\Desktop\manual06.07.exe
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\Downloads\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\Documents\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\Desktop\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\AppData\Roaming\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\AppData\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\AppData\LocalLow\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\work\AppData\Local\Temp\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Public\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Public\Downloads\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\Downloads\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\Documents\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\Desktop\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\AppData\Roaming\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\AppData\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\AppData\LocalLow\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Designer\AppData\Local\Temp\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\Downloads\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\Documents\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\Desktop\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\AppData\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default\AppData\Local\Temp\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\Documents\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\AppData\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\Downloads\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\Documents\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\Desktop\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\AppData\Roaming\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\AppData\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\AppData\LocalLow\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Buh\AppData\Local\Temp\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\Downloads\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\Documents\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\Desktop\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\AppData\Roaming\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\AppData\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\AppData\LocalLow\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\alecsandra\AppData\Local\Temp\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Administrator.NAS-NEW\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Administrator.NAS-NEW\Downloads\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Administrator.NAS-NEW\Documents\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Administrator.NAS-NEW\Desktop\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Administrator.NAS-NEW\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:35 - 2019-07-07 22:35 - 000000069 _____ C:\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\Downloads\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\Documents\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\Desktop\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\AppData\Roaming\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\AppData\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\AppData\LocalLow\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator\AppData\Local\Temp\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.NAS-NEW\AppData\Roaming\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.NAS-NEW\AppData\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.NAS-NEW\AppData\LocalLow\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.NAS-NEW\AppData\Local\Temp\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\Downloads\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\Documents\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\Desktop\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\AppData\Roaming\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\AppData\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\AppData\LocalLow\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\Administrator.BOLKUNET\AppData\Local\Temp\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\Downloads\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\Documents\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\Desktop\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\AppData\Roaming\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\AppData\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\AppData\LocalLow\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ C:\Users\1s\AppData\Local\Temp\README.txt
    2019-07-07 22:33 - 2019-07-07 22:33 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-07-07 22:28 - 2019-07-07 22:35 - 000000785 _____ C:\Users\Public\Documents\email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-07-07 22:28 - 2019-07-07 22:35 - 000000785 _____ C:\Users\Public\Desktop\email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-07-07 22:28 - 2019-07-07 22:35 - 000000785 _____ C:\ProgramData\email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-07-07 22:28 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Public\Documents\README.txt
    2019-07-07 22:28 - 2019-07-07 22:35 - 000000069 _____ C:\Users\Public\Desktop\README.txt
    2019-07-07 22:28 - 2019-07-07 22:35 - 000000069 _____ C:\ProgramData\README.txt
    2019-07-07 22:28 - 2019-07-07 22:28 - 000000069 _____ C:\Program Files (x86)\README.txt
    2019-07-07 22:24 - 2019-07-07 22:35 - 000000785 _____ C:\Users\email-sugarman@tutamail.com.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-07-07 22:24 - 2019-07-07 22:24 - 000000069 _____ C:\Program Files\README.txt
    2019-07-07 22:24 - 2019-07-07 22:24 - 000000069 _____ C:\Program Files\Common Files\README.txt
    2019-07-07 22:24 - 2019-07-07 22:24 - 000000069 _____ () C:\Program Files\README.txt
    2019-07-07 22:28 - 2019-07-07 22:28 - 000000069 _____ () C:\Program Files (x86)\README.txt
    2019-07-07 22:24 - 2019-07-07 22:24 - 000000069 _____ () C:\Program Files\Common Files\README.txt
    2019-07-07 22:25 - 2019-07-07 22:25 - 000000069 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ () C:\Users\Administrator.NAS-NEW\AppData\Roaming\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ () C:\Users\Administrator.NAS-NEW\AppData\Roaming\Microsoft\README.txt
    2019-07-07 22:34 - 2019-07-07 22:34 - 000000069 _____ () C:\Users\Administrator.NAS-NEW\AppData\Local\README.txt
    FirewallRules: [{5A24ABCD-EE00-41FE-863D-18C98B559A60}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\bin\FaxApplications.exe No File
    FirewallRules: [{CD4F8F3F-4A4F-4C96-96E3-74052FF310D5}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\bin\DigitalWizards.exe No File
    FirewallRules: [{9C30D8F6-CB8C-42E3-93E3-4152D2CA6DDB}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\bin\SendAFax.exe No File
    FirewallRules: [{B80A30A7-E0F9-43B6-99D9-695C85542C1E}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\Bin\DeviceSetup.exe No File
    FirewallRules: [{A7732C5B-4052-426D-85A1-C43A0D2BE32B}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\Bin\HPNetworkCommunicator.exe No File
    FirewallRules: [{40183929-BBDB-4071-AE32-D686B6CAB62F}] => (Allow) C:\Program Files\HP\HP Officejet 7500 E910\Bin\HPNetworkCommunicatorCom.exe No File
    FirewallRules: [{33025700-C6D3-42CA-A03C-5399B8AC8AB7}] => (Allow) C:\Program Files (x86)\PRTG Network Monitor\64 bit\PRTG Server.exe No File
    FirewallRules: [{F1322DA1-9F37-419A-A7D1-A148D61B78CF}] => (Allow) C:\Program Files (x86)\PRTG Network Monitor\PRTG Server.exe No File
    FirewallRules: [{605B3B02-4D56-4B98-80B0-D5962700D692}] => (Allow) C:\Program Files (x86)\PRTG Network Monitor\PRTG Probe.exe No File
    FirewallRules: [{EE8DF765-A4E0-4151-9788-26C4502D326A}] => (Allow) C:\Program Files (x86)\PRTG Network Monitor\PRTG Server Administrator.exe No File
    FirewallRules: [{86898DF8-69C4-4679-836F-ADD6AE9B4004}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\lync.exe No File
    FirewallRules: [{27175C54-1614-492B-9235-F135E5BB199E}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\lync.exe No File
    FirewallRules: [{D94D1FF4-1875-4781-BA3E-C3B699778D25}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\UcMapi.exe No File
    FirewallRules: [{F2DD6513-4B8C-4EBC-ADD2-E84870F7B377}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\UcMapi.exe No File
    2019-07-07 22:18 - 2019-07-06 15:20 - 000478720 _____ C:\Users\Administrator.NAS-NEW\Desktop\manual06.07.exe
    2019-07-07 22:19 - 2019-07-07 22:34 - 000000000 ____D C:\Users\Administrator.NAS-NEW\AppData\Roaming\Process Hacker 2
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Nikonirov

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Так как , рдп доступ нужен был для бухгалтера, то я сейчас на роутере отключил проброс портов, соответственно RDP сейчас закрыт.
 

Вложения

Nikonirov

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Файлы расшифровались. Большое спасибо.
 

akok

Команда форума
Администратор
Сообщения
17,480
Реакции
13,383
Баллы
2,203
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Ознакомьтесь: Рекомендации после лечения
 
Сверху Снизу