FRST.txt (80,4 KB)
Addition.txt (24,5 KB)
Shortcut.txt (707 bajtów)
Witam.
Zacznę od tego, że jest to komputer wykorzystywany w biurze do sporadycznej pracy zdalnej oraz udostępniany gościom odwiedzającym biuro. Od paru tygodniu nikt go nie doglądał, aż do dzisiaj zaskoczył mnie taką niespodzianką
Bardzo proszę o pomoc w przywróceniu go do stanu używalności, z góry dziękuję za zainteresowanie się tematem.
Pozdrawiam Kacper.
Witaj @Anomaly404 na Forum DobreProgramy
Ktoś zrobił niezły „kawał” infekując komputer w firmie.
Ransomware może być trudny do usunięcia.
Owszem, można usunąć pliki uruchamiające infekcję i wtedy zabrać się za oczyszczanie komputera, ale weź pod uwagę, że zainfekowanych plików może nie dać się odzyskać.
Z logów wynika, że infekcja pojawiła się 2021-08-05 12:21, gdyż wtedy zaszyfrowały się pliki
Próbuję odszukać jaki to rodzaj ransomware.
Jak wygląda sytuacja aktualnie z pobieraniem i zapisywaniem plików?
Możesz to zrobić, czy od razu coś blokuje zapis lub uruchamianie?
Masz aktualnie bezpośredni dostęp do tego komputera?
Czy inne komputery w firmie są bezpieczne?
Czy rozważałeś reinstalację systemu po sformatowaniu?
FRST został uruchomiony z katalogu Przeglądarki, więc aby wykonać oczyszczanie zastosuję inny sposób zapisu fixlist
Pozdrawiam serdecznie
Juliusz
Tu sa informacje co to takiego i jak to usuwać ale czy to wyleczy, nie wiem.
Witam @iJuliusz
Dziękuję za zainteresowanie.
Pozdrawiam, Kacper.
Więc czekam na decyzję, gdyż ja mam czas popołudniami i wieczorem.
W międzyczasie użyj ten program, aby usunąć programy z autostartu
Pobierz, uruchom i przeskanuj
Wstaw plik wynikowy do wglądu
Pamiętaj, aby nie używać żadnych programów bankowych, pocztowych, itp. na zainfekowanym komputerze
Pozdrawiam serdecznie
Juliusz
Witam.
Miałem dzisiaj ciężki dzień i mało czasu na zajęcie się komputerami w firmie. Wczoraj podałem błędną informacje, iż pozostałe komputery są bezpieczne. Jednak okazało się, że udostępnione lokalnie foldery z dysku C: „users” oraz „downloads” na komputerze (serwer WS2012R2F), również zostały zaatakowane przez wirus. Myślę, że stało się to dlatego ponieważ (komputer nr.3 - ten o którym wczoraj pisałem, który uważam że został zainfekowany) miał połączenie z serwerem, przez program księgowy poprzez bazę MySQL. Udostępnione lokalnie foldery przez komputer nr 1 oraz 2, zostały nie tknięte przez wirus. Podejrzewam że komputer nr. 3, nie miał w tamtym czasie zapisanych poświadczeń z komputerem nr. 1 i 2.
Dodam, że komputer nr.3 był kupiony jakoś 2 miesiące temu jako poleasingowy z wgranym systemem, ze sklepu komputerowego. Nie przeinstalowywałem systemu po zakupie. Nie miał wgranego anty wirusa. Pracował na otwartym porcie, aby można było pracować z niego zdalnie. Być może przyjechał już zainfekowany lub został zaatakowany przez ów otwarty port. Dodatkowo wycofałem wszystkie udostępnione foldery, aby się zabezpieczyć. Poniżej dodam logi ze wszystkich stacji roboczych oraz dodam co wykazały skany programów antywirusowych.
Komputer nr. 1
FRST.txt (180,0 KB)
Shortcut.txt (49,5 KB)
Addition.txt (49,2 KB)
Wykryte dwa zagrożenia przez program Eset Endpoint Security.
Komputer nr. 2
FRST.txt (21,7 KB)
Addition.txt (31,5 KB)
Shortcut.txt (49,5 KB)
Nie wykryto żadnych zagrożeń przez program Eset Internet Security.
Komputer nr. 3 (ten o którym pisałem wczoraj)
Dzisiaj przeinstalowałem jego system oraz wgrałem program Kaspersky Security Cloud (trial 1 month)
c.d. poniżej
Serwer WS2012R2F
FRST.txt (27,2 KB)
Addition.txt (21,9 KB)
Shortcut.txt (15,3 KB)
Z jakiegoś powodu Eset File Security for Microsoft Windows Server, nie reaguje na próbę rozpoczęcia skanowania (klikając funkcję skanowanie inteligentne, lub jakiekolwiek inne ,nie powoduje żadnej reakcji). Podejrzewam, że wirus mógł zaatakować jakieś pliki znajdujące się w folderze „users”. Przeprowadziłem natomiast dwa skany programami Eset Online Scanner or Malwarebytes i również nie wykryły żadnych zagrożeń.
Moja tylko uwaga, czy po tym numerze zaktualizowaliście politykę firmy na „dodatkowa kopia z ostatniego tygodnia na dysku w domu u prezesa”, czy nadal ufacie zewnętrzne serwery i antywirusy? Zaszyfrowanych danych raczej nie odzyskacie, chyba, że iJuliusz znajdzie, że akurat dla tego wirusa klucze wyciekły i są deszyfratory, dlatego posiadanie kopi danych offline jest najlepszym zabezpieczeniem. 
Dostałeś link co to i jak można to próbować naprawić. Przeczytałeś? FRST to nie antywirus. To tylko pomoc.
Wykonaj polecenie @iJuliusza i przeskanuj Free Virus Cleaner | RogueKiller AntiMalware • Adlice Software. Pamiętaj o załączeniu logów do swojego wątku.
Po przejrzeniu plików, wygląda na to, że należałoby się zająć komputerem nr 3
Komputer nr 1 i 2, oprócz błędów systemowych nie wykazuje objawów infekcji.
Jest tam wiele plików, które należałoby zabezpieczyć i tworzyć kopie systematycznie.
Również dwa ostrzeżenia, które wskazałeś, nie są niebezpieczne.
Komputer - serwer, ma pewne ustawienia, które są odpowiednie dla tej wersji Windows, ale nadal należy zadbać o odpowiednie zabezpieczenia
Wracając do zainfekowanego komputera, nie napisałeś, czy użyłeś program, który podałem wcześniej.
Co do Ransomware.
.CLEAN to nowa wersja Dharma
Niektóre z wersji Dharma można odzyskać, ale biorąc pod uwagę, że każda nowa wersja korzysta z nowszych sposobów szyfrowania, to może się okazać mało prawdopodobne, że odzyskasz pliki
Mimo to proponuję wysłać pliki do identyfikacji
ID Ransomware
Sprawdź również narzędzia deszyfrujące, odszukaj wersję Dharma i CrySiS, które są powiązane ze sobą
NoMoreRansom
Nie wiem na jakim etapie jesteś w związku z zabezpieczaniem plików, komputerów w firmie
Daj znać
Pozdrawiam serdecznie
Juliusz
Ten temat został automatycznie zamknięty 180 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.
