Показано с 1 по 7 из 7.

Вирус-шифровальщик MSIL/Filecoder.PC мимо NOD32 зашифровал все файлы (заявка № 223525)

  1. #1
    Junior Member Репутация
    Регистрация
    02.09.2019
    Сообщений
    3
    Вес репутации
    1

    Вирус-шифровальщик MSIL/Filecoder.PC мимо NOD32 зашифровал все файлы

    Здравствуйте.
    Зашифрованы все файлы кроме файлов Windows и EXE на компьютере с Windows7.
    Система полностью установлена и запущена только 17-20/08/2019.
    Установлен лицензионный ESET NOD32 Antivirus Version: 12.x.
    Компьютер использовался как аналог сервера для подключения с ноутбуков по РДП (постоянно включен с 26/08/2019, подключения периодические).
    Все время до непосредственного шифрования компьютером пользовался один человек - я. Никаких сомнительных писем не открывал, подозрительных ссылок тоже. Компьютер не перезагружался.
    На ноутбуке откуда был налажен РДП доступ стоит тот же NOD.
    Параллельно на "сервере" стоит Windows10, но она не использовалась примерно с 25/08/2019.
    Последнее подключение перед шифрованием - 30/08/2019 - работа в 1С; отправка почты.
    31/08/2019, без моего подключения, на компьютере был обнаружен и отловлен в карантин вирус MSIL/Filecoder.PC (о чем есть запись в карантине НОД32, но без файла). Это произошло по данным НОД в 21-10 31/08/2019.
    В период с 21-50 по 22-10 все файлы (doc, xls, xlsx, jpg, pdf, действующие и резервные базы 1С) были зашифрованы (около 400 Гб).
    Обнаружено шифрование 02/09 около 16-00 по переименованным файлам.
    В каждой папке лежит текстовый файл "pvbgimqjldcxkcr.txt" со следующим текстом:
    "Ваши файлы зашифрованы.
    Если хотите их вернуть отправьте один из зашифрованных файлов на e-mail: unk9@protonmail.com
    Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.com браузер TOR
    и с его помощью зайдите на сайт: ...(вырезал)
    - с любого другого браузера без использования TOR)
    - там будет указан действующий почтовый ящик.
    Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!"
    Осложняется ситуация еще и тем, что доступ к зараженному компьютеру был только по РДП (он отвалился в процессе поиска вируса НОД32 02/09). Восстановить возможность подключения пока не удалось. На данный момент подключение возможно только через TeamViewer.
    С НОД связался. пока решения от них нет.
    Прошу помочь:
    1. Устранить вирус на компьютере, если он еще там
    2. Восстановить файлы (при необходимости могу направить как примеры зашифрованных файлов, так и, для некоторых, их изначальной, до шифрования, версии)
    3. Защитить систему от повторного заражения.
    Архив всех логов по правилам во вложении
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,316
    Вес репутации
    354
    Уважаемый(ая) Ivan P, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,401
    Вес репутации
    925
    Взломали, скорее всего, по RDP, отключили защиту антивируса.
    Активного шифровальщика нет.
    Расшифровки нет, и, скорее всего, не будет.

    Для предотвращения рецидива стандартные рекомендации:

    1. Установка всех обновлений системы.
    2. Сложные пароли и нестандартные имена пользователей.
    3. Защита от брутфорса по RDP - политиками ограничить число попыток неверного ввода пароля. В идеале - на файрволе ограничить удалённый доступ по белым спискам сетей.
    4. Бэкапы должны храниться в недоступном от проникновения месте: в облаке, на отключенном внешнем диске, на разделе сетевого хранилища, который недоступен под активной учёткой компьютера.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    02.09.2019
    Сообщений
    3
    Вес репутации
    1
    Добавил.
    Сегодня NOD стал определять текстовый файл, который оставил злоумышленник в каждой папке, как тело вируса.
    Может ли этот текстовик как то помочь в расшифровке?
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,401
    Вес репутации
    925
    Нет. И часть этого файла Вы уже привели.

    HotFix KB3020369 Внимание! Скачать обновления
    HotFix KB3125574 Внимание! Скачать обновления
    HotFix KB4012212 Внимание! Скачать обновления
    HotFix KB4499175 Внимание! Скачать обновления
    HotFix KB4484071 Внимание! Скачать обновления
    HotFix KB4512486 Внимание! Скачать обновления
    Надо устанавливать, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.

    Контроль учётных записей пользователя отключен
    Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    02.09.2019
    Сообщений
    3
    Вес репутации
    1
    Правильно ли я понимаю, что все действия которые вы предлагаете необходимо предпринять для предотвращения возможных повторных заражений, так?
    Есть ли какие то решения или предложения для решения первых двух запросов:
    1. Устранить вирус на компьютере, если он еще там
    2. Восстановить файлы (при необходимости могу направить как примеры зашифрованных файлов, так и, для некоторых, их изначальной, до шифрования, версии)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,401
    Вес репутации
    925
    1. Активного шифровальщика нет.
    2. Современные алгоритмы шифрования не дают даже теоретической возможности расшифровать без ключа, редкие случаи бывают, когда в реализации алгоритма серьёзный изъян, но это не тот случай, скорее всего.
    WBR,
    Vadim

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 31.08.2019, 23:00
  2. BAT/Filecoder.Z (по версии NOD32) зашифровал в .vault
    От bukaneer в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 03.04.2015, 01:56
  3. Ответов: 5
    Последнее сообщение: 21.01.2015, 17:00
  4. Сервер 2003 заражен filecoder.q по версии nod32 и зашифровал файлы
    От Зуёнок Александр в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 16.12.2013, 18:34

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01046 seconds with 20 queries