Добрый день!
Прошу оказать помощь в дешифровке. Была скомпрометирована учетная запись терминального пользователя после чего от его имени был запущен шифровальщик. На сервере установлен Антивирус Касперского для файловых серверов v8.0.1.923 . В логах Касперского было обнаружено
Код:
Обнаружен объект.
Имя объекта: C:\usr\snmp\persist\dbscr\dbs\cr2609.exe.
Тип объекта: Н/Д.
Уровень опасности: высокий.
Степень уверенности: полное совпадение сигнатур.
Тип обнаруженного объекта: троян.
Обнаружено: Trojan.Win32.Inject.sgxs.
Имя задачи: Постоянная защита файлов.
Имя компьютера: localhost.
Процесс: Explorer.EXE.
PID: 18624.
и следом за ним
Код:
Обнаружен объект.
Имя объекта: C:\usr\snmp\persist\dbscr\dbs\svcnvhost.exe.
Тип объекта: Н/Д.
Уровень опасности: средний.
Степень уверенности: полное совпадение сигнатур.
Тип обнаруженного объекта: вредоносная программа.
Обнаружено: HackTool.Win32.BruteForce.xl.
Имя задачи: Постоянная защита файлов.
Имя компьютера: localhost.
Процесс: Explorer.EXE.
PID: 18624.
После чего часть файлов и баз были (там где были права у скомпрометированного пользователя) зашифрованы. Также были созданы текстовые фалы КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt со следующим содержанием
Код:
ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.
НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.
ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
[email protected]
И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Вячеслав Бордун, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Логи в порядке. Пароли от RDP смените на более сложные
Присланные файлы расшифрованы (возможно, не расшифруются только файлы совсем небольшого маленького размера). С 1 ноября расшифровка файлов идет отдельной услугой. Подробнее здесь
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect