Показано с 1 по 11 из 11.

Вирус-шифровальщик (заявка № 227817)

  1. #1
    Junior Member Репутация
    Регистрация
    28.10.2019
    Сообщений
    15
    Вес репутации
    17

    Вирус-шифровальщик

    Добрый день.
    На компьютере был взломан RDP и зашифрованы файлы.
    Система осталась работоспособна (по крайней мере, на первый взгляд), следов вируса в запущенных процессах не видно.
    Во вложении логи работы AutoLogger
    Просьба помочь с расшифровкой и очисткой системы от следов шифровальщика.

    Заранее спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) maxbm, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Логи неполные. Сделайте такие.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

    Также прикрепите в архиве пару зашифрованных файлов и требование о выкупе.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    28.10.2019
    Сообщений
    15
    Вес репутации
    17
    Во вложении:
    результаты сканирования FRST - архив CheckResults
    образцы зашифрованных файлов - архив cryptedFiles
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Следов шифровальщика в системе нет.
    Расшифровки тоже.
    С таким подходом (вспоминая Вашу предыдущую тему) ломать будут постоянно.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.

    По результатам дам рекомендации общего характера, как нужно организовать безопасный доступ.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    28.10.2019
    Сообщений
    15
    Вес репутации
    17

    Результаты во вложении

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Следов шифровальщика в системе нет.
    Расшифровки тоже.
    С таким подходом (вспоминая Вашу предыдущую тему) ломать будут постоянно.
    Видимо, самоликвидировался шифровальщик. Расшифровывать до обращения в эту тему никто не пытался.
    Во вложении результат работы SecurityCheck.
    По поводу подхода, тут некоторое недопонимание, полагаю. Я не системный администратор и не специалист по защите и настройке. Я помогаю иногда коллегам, попавшим в беду, сформулировать проблему, собрать сведения и логи и обратиться к вам, как к профи, за помощью. Проблема из прошлой темы как-то решилась, каким образом - я не в курсе.
    В данном случае был открыт и активно использовался RDP на стандартном порту - сейчас rdp уже отключен, естественно.
    Вам, безусловно, огромное человеческое спасибо за помощь и участие, многих вы просто спасаете.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Смените всем, у кого есть права входа по RDP, пароли, установите сложные.
    Уберите права администратора у всех пользователей, кроме тех кому они действительно необходимы, при грамотной настройке прав всем они не нужны. Не будет возможности при проникновении с правами обычного пользователя удалить теневые копии, больше шансов на восстановление файлов после шифрования.
    Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для доступа по RDP пользуйтесь другими, с нетипичным, лучше не словарным (типа Natasha, Kirill, User - как в этом случае) именем и сложными паролями.
    Включите защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа - Политика блокировки учетной записи.

    Использовать доступ по RDP напрямую из интернета - крайне небезопасно, если не взломают, то заблокируют учётки в процессе подбора паролей.
    Лучше использовать тоступ по VPN, сейчас это поддерживают многие даже домашние роутеры.

    Кстати, В этом случае ещё и веб-интерфейс роутера доступен из интернета, что совсем не правильно.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    28.10.2019
    Сообщений
    15
    Вес репутации
    17
    Спасибо за развернутый ответ и советы по настройке.
    Очистка системы будет заключаться исключительно в удалении зашифрованных файлов? Или что-то следует еще проверить?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Можно в FRST почистить сообщения о выкупе, хвосты Avast и мусор.
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    2022-09-02 23:23 - 2022-09-02 23:23 - 000003326 _____ C:\#HOW_TO_DECRYPT#.txt
    2022-09-02 23:15 - 2022-09-02 23:15 - 000000000 ____D C:\Users\user\.freerdp
    2022-09-02 22:29 - 2022-09-02 22:29 - 000003326 _____ C:\Users\user\Downloads\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:29 - 2022-09-02 22:29 - 000003326 _____ C:\Users\user\Documents\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:29 - 2022-09-02 22:29 - 000003326 _____ C:\Users\user\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:29 - 2022-09-02 22:29 - 000003326 _____ C:\Users\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:26 - 2022-09-02 22:26 - 000003326 _____ C:\Users\user\Desktop\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:25 - 2022-09-02 22:29 - 000003326 _____ C:\ProgramData\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\Public\Downloads\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\Public\Documents\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\Public\Desktop\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\Public\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\MSSQL$SQLEXPRESS\Downloads\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\MSSQL$SQLEXPRESS\Documents\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\MSSQL$SQLEXPRESS\Desktop\#HOW_TO_DECRYPT#.txt
    2022-09-02 22:25 - 2022-09-02 22:25 - 000003326 _____ C:\Users\MSSQL$SQLEXPRESS\#HOW_TO_DECRYPT#.txt
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
    ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
    ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
    ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
    HKU\S-1-5-21-2147634003-2779915254-4021622244-1000\...\Run: [MSFEEditor] => "C:\Users\user\Music\disable\ENC_noFreeProc.exe" e (Нет файла)
    HKU\S-1-5-21-2147634003-2779915254-4021622244-1000\...\MountPoints2: {705f7cfb-7c3f-11ec-ab4d-d4bed98f1790} - "G:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-2147634003-2779915254-4021622244-1000\...\MountPoints2: {705f7d0d-7c3f-11ec-ab4d-d4bed98f1790} - "G:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-2147634003-2779915254-4021622244-1000\...\MountPoints2: {76f0e991-efbd-11ec-a1cc-d4bed98f1790} - G:\AutoRun.exe
    HKU\S-1-5-21-2147634003-2779915254-4021622244-1000\...\MountPoints2: {c1e8f8fb-e01e-11e7-84f7-18d6c717a34b} - G:\bootstrap.exe
    Task: {92505EAA-6ABB-456A-9976-635340F07DDD} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2250576 2022-05-25] (Avast Software s.r.o. -> Avast Software)
    C:\Program Files\Common Files\Avast Software
    FirewallRules: [TCP Query User{8A8D9FC8-2BF6-47B1-9E20-7503AC715EE1}C:\users\user\desktop\top\anydesk.exe] => (Allow) C:\users\user\desktop\top\anydesk.exe => Нет файла
    FirewallRules: [UDP Query User{9824390F-4E97-49E4-A554-E05898238303}C:\users\user\desktop\top\anydesk.exe] => (Allow) C:\users\user\desktop\top\anydesk.exe => Нет файла
    FirewallRules: [TCP Query User{B4A20A5C-B026-4FB0-BB6B-896845BB1710}C:\users\user\desktop\top\новая папка\anydesk.exe] => (Allow) C:\users\user\desktop\top\новая папка\anydesk.exe => Нет файла
    FirewallRules: [UDP Query User{64CB4A2E-C219-4C10-B9D4-4BB6199C341E}C:\users\user\desktop\top\новая папка\anydesk.exe] => (Allow) C:\users\user\desktop\top\новая папка\anydesk.exe => Нет файла
    FirewallRules: [{14107CB4-4D93-4998-8912-5231C0A602D3}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
    FirewallRules: [{AB849DF1-FE45-43D1-ACE2-E266F0BF60F6}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
    FirewallRules: [{DC3E060E-F688-45DB-98F0-DB1475C7749B}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
    FirewallRules: [TCP Query User{B5567335-876D-4470-999C-D1A438EFCCA4}C:\users\user\desktop\333\anydesk.exe] => (Allow) C:\users\user\desktop\333\anydesk.exe => Нет файла
    FirewallRules: [UDP Query User{4A37F7CE-E860-4A84-B555-5FA6CA93F8AF}C:\users\user\desktop\333\anydesk.exe] => (Allow) C:\users\user\desktop\333\anydesk.exe => Нет файла
    FirewallRules: [TCP Query User{85CC3242-61F5-4D1D-B436-D67C5A46065F}C:\users\user\desktop\333\anydesk (1).exe] => (Allow) C:\users\user\desktop\333\anydesk (1).exe => Нет файла
    FirewallRules: [UDP Query User{BDC52A50-576C-442B-B916-693B3D3EED5B}C:\users\user\desktop\333\anydesk (1).exe] => (Allow) C:\users\user\desktop\333\anydesk (1).exe => Нет файла
    FirewallRules: [TCP Query User{D2C51F85-B00E-423D-83FE-CF7A40D381DD}C:\users\user\desktop\anydesk.exe] => (Allow) C:\users\user\desktop\anydesk.exe => Нет файла
    FirewallRules: [UDP Query User{7AD66067-5A7F-47D7-BBC4-D67FD4292190}C:\users\user\desktop\anydesk.exe] => (Allow) C:\users\user\desktop\anydesk.exe => Нет файла
    StartBatch:
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q C:\Windows\Temp\*.*
    del /s /q "%userprofile%\AppData\Local\temp\*.*"
    EmptyTemp:
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Контроль учётных записей пользователя отключен
    Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    28.10.2019
    Сообщений
    15
    Вес репутации
    17
    Невозможно загрузить лог-файл: его размер 1.13мб, а ограничение на общий объем загруженных файлов составляет меньше мегабайта. И файлы от старых запросов непонятно как удалить - они тоже место занимают, хоть и не много.
    UPD: после архивирования вложение успешно прикрепилось.
    По окончании работы FRST появилось окно о повреждении файла cmd. В автоматическую перезагрузку компьютер не ушел.
    Вложения Вложения
    Последний раз редактировалось maxbm; 15.09.2022 в 10:06.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от maxbm Посмотреть сообщение
    По окончании работы FRST появилось окно о повреждении файла cmd. В автоматическую перезагрузку компьютер не ушел.
    Всё нормально, в конце фикса некритичная опечатка.

    Завершаем.
    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.
    WBR,
    Vadim

Похожие темы

  1. Вирус-шифровальщик с расширением *.fuck
    От WallyS в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 28.08.2017, 20:01
  2. Вирус шифровальщик, Вирус .breaking_bad
    От bulyakan в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 26.01.2016, 20:28
  3. Ответов: 2
    Последнее сообщение: 23.09.2015, 19:54
  4. Вирус - шифровальщик.
    От legwand в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 14.03.2012, 17:16
  5. Вирус шифровальщик файлов!
    От Лев Таптунов в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 19.10.2011, 21:55

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00129 seconds with 20 queries