• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Запрос на помощь blacklivesmatter@qq.com

Lokaris

Новый пользователь
Сообщения
7
Реакции
0
Здравствуйте, теперь у нас в филиале вирус все пожрал.
Наученный горьким опытом я заставил всех делать по три копии баз данных во всех филиалах так что информацию я восстановлю так или иначе.
Можно по данным логам как то выяснить откуда заползла вирусятина? Есть подозрение на РДП, но вроде все закрыто было.
 

Вложения

  • FRST.txt
    223.1 KB · Просмотры: 2
  • Addition.txt
    50.8 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,644
Реакции
2,600
Здравствуйте!

Вымогатель активен и продолжает шифровать даже уже зашифрованное.

  1. Отключите до перезагрузки антивирус.
  2. Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    () [File not signed] C:\Users\user6\AppData\Roaming\1blm.exe
    HKU\S-1-5-21-145641995-2589762655-940517381-1020\...\Run: [1blm.exe] => C:\Users\user6\AppData\Roaming\1blm.exe [94720 2020-10-11] () [File not signed]
    HKU\S-1-5-21-145641995-2589762655-940517381-1020\...\Run: [C:\Users\user6\AppData\Roaming\Info.hta] => C:\Users\user6\AppData\Roaming\Info.hta [13934 2020-10-11] () [File not signed]
    Startup: C:\Users\user6\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1blm.exe [2020-10-12] () [File not signed]
    Startup: C:\Users\user6\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-10-11] () [File not signed]C:\Users\user6\AppData\Roaming\1blm.exe
    C:\Users\user6\AppData\Roaming\1blm.exe
    2020-10-12 11:25 - 2020-10-12 11:25 - 000002136 _____ C:\Users\Все пользователи\HOW TO BACK YOUR FILES.txt.id-AE2FCAD2.[blacklivesmatter@qq.com].blm
    2020-10-12 11:25 - 2020-10-12 11:25 - 000002136 _____ C:\Users\Все пользователи\Documents\HOW TO BACK YOUR FILES.txt.id-AE2FCAD2.[blacklivesmatter@qq.com].blm
    2020-10-12 11:25 - 2020-10-12 11:25 - 000002136 _____ C:\Users\Public\HOW TO BACK YOUR FILES.txt.id-AE2FCAD2.[blacklivesmatter@qq.com].blm
    2020-10-12 11:25 - 2020-10-12 11:25 - 000002136 _____ C:\Users\Public\Downloads\HOW TO BACK YOUR FILES.txt.id-AE2FCAD2.[blacklivesmatter@qq.com].blm
    2020-10-12 11:25 - 2020-10-12 11:25 - 000002136 _____ C:\Users\Public\Documents\HOW TO BACK YOUR FILES.txt.id-AE2FCAD2.[blacklivesmatter@qq.com].blm
    2020-10-12 11:25 - 2020-10-12 11:25 - 000002136 _____ C:\ProgramData\HOW TO BACK YOUR FILES.txt.id-AE2FCAD2.[blacklivesmatter@qq.com].blm
    2020-10-12 11:25 - 2020-10-12 11:25 - 000002136 _____ C:\ProgramData\Documents\HOW TO BACK YOUR FILES.txt.id-AE2FCAD2.[blacklivesmatter@qq.com].blm
    2020-10-11 17:22 - 2020-10-11 17:22 - 000001868 _____ C:\Users\user5\Documents\HOW TO BACK YOUR FILES.txt
    2020-10-11 17:22 - 2020-10-11 17:22 - 000001868 _____ C:\Users\user5\Desktop\HOW TO BACK YOUR FILES.txt
    2020-10-11 17:22 - 2020-10-11 17:22 - 000001868 _____ C:\Users\user5\AppData\Roaming\HOW TO BACK YOUR FILES.txt
    2020-10-11 17:22 - 2020-10-11 17:22 - 000001868 _____ C:\Users\user5\AppData\LocalLow\HOW TO BACK YOUR FILES.txt
    2020-10-11 17:22 - 2020-10-11 17:22 - 000001868 _____ C:\Users\user5\AppData\Local\HOW TO BACK YOUR FILES.txt
    2020-10-11 17:22 - 2020-10-11 17:22 - 000001868 _____ C:\Users\user5\AppData\HOW TO BACK YOUR FILES.txt
    2020-10-11 17:22 - 2020-10-11 17:22 - 000000948 ____H C:\Users\user5\Desktop\.DF7ADA61E0284DDD4F1E
    2020-10-11 17:22 - 2020-10-11 17:22 - 000000948 ____H C:\Users\user5\AppData\Roaming\.DF7ADA61E0284DDD4F1E
    2020-10-11 17:22 - 2020-10-11 17:22 - 000000948 ____H C:\Users\user5\AppData\LocalLow\.DF7ADA61E0284DDD4F1E
    2020-10-11 17:22 - 2020-10-11 17:22 - 000000948 ____H C:\Users\user5\AppData\.DF7ADA61E0284DDD4F1E
    2020-10-11 17:21 - 2020-10-11 17:21 - 000001868 _____ C:\Users\user5\HOW TO BACK YOUR FILES.txt
    2020-10-11 17:21 - 2020-10-11 17:21 - 000001868 _____ C:\Users\user5\Downloads\HOW TO BACK YOUR FILES.txt
    2020-10-11 17:18 - 2020-10-11 17:18 - 000001868 _____ C:\ProgramData\HOW TO BACK YOUR FILES.txt
    AlternateDataStreams: C:\Users\Администратор\Desktop\AA_v3.exe:AFP_AfpInfo [130]
    AlternateDataStreams: C:\Users\Администратор\Desktop\AA_v3.exe:com.apple.lastuseddate#PS [34]
    End::
  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST (FRST64) от имени администратора.
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.


откуда заползла вирусятина?
- Многовато администраторов в системе.
- Anydesk, Ammyadmin, Teamviewer - не много ли программ удалённого управления?
- Разрешения на порты открывали самостоятельно?
FirewallRules: [{90EEC2AE-54A3-4F84-B76D-00B89375D45E}] => (Allow) LPort=9100
FirewallRules: [{9489A179-34F8-4EBF-93E7-407A141A8770}] => (Allow) LPort=427
FirewallRules: [{3E039EB0-A811-4DB1-88DD-A997582C6FC1}] => (Allow) LPort=161
FirewallRules: [{F7CF8BB8-1D0A-4E3E-8680-8120FD74237D}] => (Allow) LPort=427
FirewallRules: [{158DDC66-4097-4A88-AC42-874CFEA686F2}] => (Allow) LPort=443
FirewallRules: [{2B6848D3-A15F-4D5F-B845-1775EBAA43C3}] => (Allow) LPort=50
 
Последнее редактирование:
  • Like
Реакции: akok

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,644
Реакции
2,600
+
Пострадали учётки user5 и user6
 
  • Like
Реакции: akok

Lokaris

Новый пользователь
Сообщения
7
Реакции
0
Ну в общем все понятно.
Открытый РДП на улицу плюс мегасложные пароли типа user5/555
Тему можно закрывать, спасибо за помощ в анализе.
Завтра поеду с СБ наводить шорох и наказывать непричастных.
 

Lokaris

Новый пользователь
Сообщения
7
Реакции
0
Все пофиксили остановили проверили антивирусом пролечили.
Переустанавливать систему пока смысла не вижу.
 

Lokaris

Новый пользователь
Сообщения
7
Реакции
0
Да смысла уже не было, WEB FIXIT все нашел и пролечил.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,644
Реакции
2,600
Уязвимые места можете проверить так:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Читайте Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Сверху Снизу