Помогите расшифровать файты "Encrypted by Blackbit"
Здравствуйте.
Зашифровались файлы, не запускаются программы, при попытке входа под всеми пользователями, кроме дефолтного "Администратор", появляется сообщение о том, что все файлы защифрованы(скриншот прикрепляю).
Операционная система Windows Server 2008 R2 с ролями "Контроллер домена и сервер терминалов"(знаю, что так делать нельзя, но нстраивал не я, мне такое досталось). Заражение началось ориентировочо 24.09.2022 около 00:10:01.
Выполнялись резервные копии программой Acronis Backup 11.7 - резервные копии тоже зашифрованы. Так же делались копии в зону безопасности Acronis, но их сохранность проверить не могу, так как сам Acronis тоже зашифрован. Можно ли по новой установить его на сервере, чтобы проверить?
Логи, согласно инструкции прикрепляю. BlackBit.PNG
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) C-S, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Уважаемый(ая) C-S, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Спасибо, жду.
Логи предоставил, готов оформить платную подписку.
P.S.: Хочу оформить платную подписку для создания темы в разделе "Помогите +", но не понимаю, как оплатить сервис картой. Попадаю на страницу оплаты через PayPal, а что делать дальше - непонятно.
Как это правильно делается?
И имеет и смысл оформлять ее в моем случае?
Подтверждаю, вымогатель - вариант Loki Locker, расшифровки нет.
- - - - -Добавлено - - - - -
Если планируете чистить систему с нашей помощью, дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Здравствуйте.
Понял, спасибо.
В итоге я восстановил самые важные данные и системный раздел из зоны безопасности Acronis, загрузившись из образа восстановления Acronis. Восстановление системного раздела прервалось с ошибкой на 95 процентах, но система загружается и работает.
На текущий момент основной функционал восстановлен.
Установил на сервер Kespersky Endpoint Security 11.10, проверка выявила несколько подозрительных файлов: C:\Users\post\AppData\Roaming\pr_c.exe
C:\Windows\System32\xmrig\gup.exe
C:\Windows\System32\xmrig\daystart.cmd
C:\Windows\System32\xmrig\nightstart.cmd
Но все они существуют достаточно давно, с 20.03.2022 и вряд ли связаны с произошедшим.
Скрипты daystart.cmd и nightstart.cmd выглядят так: taskkill /F /IM gup.exe nightstart.cmd по расписанию должен запускаться каждый день в 23 часа, daystart.cmd - в 7 утра и при каждом запуске системы.
Что это за gup.exe - непонятно, но по факту скрипты последние два месяца не выполнялись, потому что они запускаются от имени администратора, а у него я сменил пароль и в задания его не вводил, потому что не знал об их существовании.
Система Windows Server 2008 R2, наружу открыт нестандартный порт, запросы на который роутер перенаправляет на RDP сервера. Для ввода логина и пароля используется проверка на уровне сети(не появляется приветственное окно, в котором можно увидеть версию сервера).
Я подозреваю, что было использовано что-то из этого - RDP наружу + старая версия Windows без актуальных обновлений + отсутствие антивируса.
Можно ли по логам сканирования AVZ как-то понять, что явилось причиной шифрования и какую уязвимость использовали? Viruses.PNG
Последний раз редактировалось C-S; 27.09.2022 в 12:28.
Уточните пожалуйста, для чего нужно выполнить этот скрипт?
Имеет ли смысл его делать при условии, что раздела с зараженной системой больше нет? Я восстановил системный раздел из резервной копии от 21 числа, а заражение произошло в ночь с 23 на 24 число, когда ситсема вероятно еще не была заражена.
На время выполнения скрипта отключать антивирус? Система будет перезагружена после его выполнения?
Понял.
Вообще там на сервере стоит RDP Guard, который блокирует после 5 неудачных попыток подключения, но все равно это не панацея, я понимаю.
Необходимость VPN сам понимаю.
Что примечательно - за этим роутером стоит еще один сервер, на который так же проброшен RDP(подробностей какая там ОС и защита - не знаю, это соседи) - на нем все в порядке.