-
Вложений: 1
Заражен honestandhope
Добрый день!
Заразились некоторые машины в домене без антивируса. В результате зашифрована существенная часть файлового сервера. KES вроде бы обезвредил угрозу. Но хорошо бы убедиться наверняка. Систему на файловом сервере пока не переустанавливали, возможно будем позже.
Ну и возможность расшифровки тоже, конечно, интересует.
-
Уважаемый(ая) [B]delph1n[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
-
Здравствуйте,
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
StopService('Networks');
TerminateProcessByName('C:\WINDOWS\Debug\nat\svchost.exe');
QuarantineFile('C:\WINDOWS\Debug\nat\svchost.exe', '');
QuarantineFileF('C:\WINDOWS\Debug\nat', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
DeleteFile('C:\WINDOWS\Debug\nat\svchost.exe', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
DeleteService('Networks');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
После выполнения скрипта перезагрузите сервер вручную.
После перезагрузки:
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
-
[QUOTE=SQ;1521610]Здравствуйте,
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
StopService('Networks');
TerminateProcessByName('C:\WINDOWS\Debug\nat\svchost.exe');
QuarantineFile('C:\WINDOWS\Debug\nat\svchost.exe', '');
QuarantineFileF('C:\WINDOWS\Debug\nat', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
DeleteFile('C:\WINDOWS\Debug\nat\svchost.exe', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
DeleteService('Networks');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
После выполнения скрипта перезагрузите сервер вручную.
После перезагрузки:
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.[/QUOTE]
Благодарю. Почему-то пишет, что данный файл уже загружен.
-
Новые логи Autologger сделайте
-
Вложений: 1
-
[QUOTE=delph1n;1521644]Благодарю. Почему-то пишет, что данный файл уже загружен.[/QUOTE]
Проверьте пожалуйста возможно карантин пустой или имеет нулевой размер.
-
Вложений: 1
Загрузил, кажется.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Вот
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=SQ;1521669]Проверьте пожалуйста возможно карантин пустой или имеет нулевой размер.[/QUOTE]
Файл пустой, да.
-
Касаемо разшифровки это скорее всего CryLock 2.0.0.0 и расшифровки нет.
Если хотите продолжить чистку то, выполните следующие инструкции:
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
-
Вложений: 2
-
[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
Folder: C:\Windows\system32\RsFx
Folder: C:\Windows\SysWOW64\BestPractices
Folder: C:\WINDOWS\Debug
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [/LIST]
В логах больше ничего вредоносное не замечено, только хотелось проверить содержание 3-х папок.
Я заменил, что на вашем файрволе открыт доступ к базе-данных MySQL Server 8.0, убедитесь, чтобы он не [URL="https://www.cvedetails.com/vulnerability-list/vendor_id-93/product_id-21801/Oracle-Mysql.html"]был взломан[/URL] и проверьте если необходимо установить все обновления.
[CODE]FirewallRules: [{019191DC-73B8-4ED0-9777-9D131E6C8F3A}] => (Allow) LPort=3306
FirewallRules: [{75E287EC-729E-4AA9-B1A0-30F334498F92}] => (Allow) LPort=33060
FirewallRules: [{425BC18F-C4DB-40A8-92A1-398CA3D02AB8}] => (Allow) C:\Program Files (x86)\Castle\server\mysqld\bin\mysqld.exe (MariaDB Corporation Ab -> )
FirewallRules: [{7972FFEE-1556-41BE-B0D4-FB23CB32EE15}] => (Allow) C:\Program Files (x86)\Castle\server\mysqld\bin\mysqld.exe (MariaDB Corporation Ab -> )
FirewallRules: [{DB64919F-5B18-4CA7-B79C-7C48059DDFA6}] => (Allow) C:\Program Files (x86)\Castle\server\mysqld\bin\mysqld.exe (MariaDB Corporation Ab -> )
FirewallRules: [{E9D7DDC6-6983-44BF-ADF3-38E2B2659E89}] => (Allow) C:\Program Files (x86)\Castle\server\mysqld\bin\mysqld.exe (MariaDB Corporation Ab -> )[/CODE]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Следующие файлы (угроз злоумышленников) сохраните куда-нибудь, возможно если какая-та антивирусная компания выпустит дещифровшик, то в некоторых случаях они могут понадобится:
[CODE]2021-08-22 19:58 - 2021-08-22 19:58 - 000006035 _____ C:\Users\Public\how_to_decrypt.hta
2021-08-22 19:58 - 2021-08-22 19:58 - 000006035 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-08-22 19:58 - 2021-08-22 19:58 - 000006035 _____ C:\Users\Public\Documents\how_to_decrypt.hta[/CODE]
-
Файлы how_to_decrypt.hta не нужны при расшифровке CryLock. Их можно смело удалять.
-
Вложений: 1
[QUOTE=SQ;1521789]
В логах больше ничего вредоносное не замечено, только хотелось проверить содержание 3-х папок.
[/QUOTE]
Добрый день!
Только вчера удалось запустить проверку.
-
[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CreateRestorePoint:
CMD: type C:\WINDOWS\Debug\nat\config.json
C:\WINDOWS\Debug\nat
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). [/LIST]
-
Вложений: 1
-
На этом все. К сожалению как было указано ранее с расшифровкой не поможем.
-
-
В завершение проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
Уязвимости не обнаружены, отлично!
-
Утилиты лечения можно просто удалить. На этом всё!
Page generated in 0.01018 seconds with 10 queries