Шифровальщик "omerta" на сервере

[Тимур Тлегенов]

Данный сервер является Web-платформой для АИС"Platonus", удаленный доступ имеет разработчик(находящийся в другом городе) данной АИС,
в пятницу(28.09.2018г) вечером все работало, сегодня(01.10.201 обнаружилось что файлы зашифрованы с расширением "omerta".
откуда скачали и как активировали шифровальщик мы не знаем(т.к. в выходные ни работали), а так же способ проникновения на сервер.
Также на данном сервере был установлен "Kaspersky Anti-Virus 8.0 for windows Server Enterprise Edition", но сегодня его уже не обнаружили

Просим помощи по скорее, так как нету копий баз АИС"Platonus"

ps. на companyaccount.kaspersky.com заявку подали? но там очень долго отвечают, надеюсь здесь быстрее будет
СПАСИБО за ПОМОЩЬ!

[Info_bot]

Уважаемый(ая) Тимур Тлегенов, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

Скорее всего ваш сервер взломали, как вариант использовали легкий пароль или небыли устанолены все критические обновления.

Скорее всего с расшифровкой не поможем.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 TerminateProcessByName('C:\Windows\SysWOW64\systemx64\time.exe');
 QuarantineFile('C:\Windows\reg\REBE1l.exe','');
 QuarantineFileF('C:\Windows\reg', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Windows\System32\de-DE\win32\query.bat','');
 QuarantineFileF('C:\Windows\System32\de-DE\win32', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('c:\Windows\fonts\com33.{241D7C960-F8BF-4F95-B01F-E2B053341A5B}\com4.{241D7C960-F9BF-4F85-B01F-E3B043341A4B}\com4.{241D7C960-F8BF-4F85-B01F-E2B043341A4B}\key.bat','');
 QuarantineFile('c:\Windows\fonts\com17.{241D7C960-F8BF-4F95-B01F-E2B053341A5B}\com4.{241D7C960-F9BF-4F85-B01F-E3B043341A4B}\com4.{241D7C960-F8BF-4F85-B01F-E2B043341A4B}\conhoste.bat','');
 QuarantineFile('c:\Windows\fonts\com23.{241D7C960-F8BF-4F95-B01F-E2B053341A5B}\com4.{241D7C960-F9BF-4F85-B01F-E3B043341A4B}\com4.{241D7C960-F8BF-4F85-B01F-E2B043341A4B}\installer.bat','');
 QuarantineFile('c:\Windows\fonts\com10.{241D7C960-F8BF-4F95-B01F-E2B053341A5B}\com4.{241D7C960-F9BF-4F85-B01F-E3B043341A4B}\com4.{241D7C960-F8BF-4F85-B01F-E2B043341A4B}\cmd.bat','');
 QuarantineFile('C:\Users\admin\Desktop\BR\tr\csrs.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Roaming\Microsoft\Crypto\RSA\svchost.exe','');
 QuarantineFileF('C:\Users\Администратор\AppData\Roaming\Roaming\Microsoft\Crypto\RSA', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Windows\SysWOW64\systemx64\time.exe','');
 QuarantineFile('C:\Windows\system32\systemx64\systemx64.exe','');
 QuarantineFileF('C:\Windows\SysWOW64\systemx64', '*.exe,*.dll,*.sys', false,'', 0, 0);
 DeleteFile('C:\Windows\SysWOW64\systemx64\time.exe','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Roaming\Microsoft\Crypto\RSA\svchost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe','command');
 DeleteFile('c:\Windows\fonts\com10.{241D7C960-F8BF-4F95-B01F-E2B053341A5B}\com4.{241D7C960-F9BF-4F85-B01F-E3B043341A4B}\com4.{241D7C960-F8BF-4F85-B01F-E2B043341A4B}\cmd.bat','32');
 DeleteFile('c:\Windows\fonts\com23.{241D7C960-F8BF-4F95-B01F-E2B053341A5B}\com4.{241D7C960-F9BF-4F85-B01F-E3B043341A4B}\com4.{241D7C960-F8BF-4F85-B01F-E2B043341A4B}\installer.bat','32');
 DeleteFile('c:\Windows\fonts\com17.{241D7C960-F8BF-4F95-B01F-E2B053341A5B}\com4.{241D7C960-F9BF-4F85-B01F-E3B043341A4B}\com4.{241D7C960-F8BF-4F85-B01F-E2B043341A4B}\conhoste.bat','32');
 DeleteFile('c:\Windows\fonts\com33.{241D7C960-F8BF-4F95-B01F-E2B053341A5B}\com4.{241D7C960-F9BF-4F85-B01F-E3B043341A4B}\com4.{241D7C960-F8BF-4F85-B01F-E2B043341A4B}\key.bat','32');
 DeleteFile('C:\Windows\System32\de-DE\win32\query.bat','32');
 DeleteFile('C:\Windows\reg\REBE1l.exe','32');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteRepair(11);
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.