Всем доброго дня.
Бухгалтерский компьютер (на Windows7) подхватил шифровальщика; файлы .vault, тор-браузер и http://333e45lpjqrebknr.onion. Я занялся этим вопросом (по мере возможности) и хочу поделиться некоторым опытом + попросить возможной помощи в ситуации
Забегая вперед скажу что - повезло, успели зашифроваться только файлы doc/docx и xls/xlsx (даже с десяток осталось жить), а базы 1С, архивы с бэкапами и сетевые папки остались не тронутыми. Началось всё с обычного звонка - "что то документ не открывается", я зашел через "удалёнку", сообразил ситуацию не сразу (поиграл в переименования файла и т.п.), а как почуял неладное быстро "загасил" компьютер и сел основательно "курить тему", вечером вооружившись базовыми знаниями, боевыми флешками/хардами поехал разбираться с компом.
Этой мой первый опыт такого характера (с шифровальщиком), так что не судите строго.
Теперь по делу:
1. Вдохнул. Загрузился с "LiveCD", скопировал все базы и все важные зараженные документы на внешний носитель. По структуре 1С базы (самое главное!) были не тронутые. Выдохнул.
2. Физически отключил второй HDD (для бэкапов который служил), он так же был не тронут, только в корне VAULT.KEY VAULT.HTA находились. .
3. Запустил зараженный комп "как есть", первым делом проверил запущенные процессы, за 10 секунд ничего подозрительного не обнаружил, Работаю дальше.
4. Быстро размонтировал сетевые диски (где сетевые папки, как физические диски были с буквами).
5. Проверил карантин "известного бесплатного оранжевого антивируса ", обнаружил там 2 подозрительных ".ехе" файла (с одинаковыми именами), которые были автоматически заблокированы несколько часов назад, с разницей в 30 секунд. Думается мне это и был шифровальщик, который успел отработать несколько сотен файлов (а может и тысяч)! Удивился подходу "оранжевого" к работе, но конечно лучше поздно, чем никогда...
6. Для перестраховки скачал "известную зеленую утилиту", прогнал - нашел 2 вируса (лог в файле) и несколько не вирусов ).
7. Для дополнительной перестраховки скачал "известную красную утилиту", прогнал - обнаружено ДОПОЛНИТЕЛЬНО 5+ новых файлов (downloader, trojan, что то в архиве и наконец найдены виновники - JS сктрипты аля "акты сверки_doc___.js").
8. Все найденные вирусы (5 файлов) перенёс в отдельную папку, прогнал для любопытства "оранжевым" - тишина. "Зеленой утилитой не стал" - было сложнее и дольше, попробую попозже для интереса.
9. Проверил точки восстановления системы - ОТСУТСТВУЮТ (хотя было и много)! С теневыми файлами долго возился - облом по всем фронтам/программам ;( скрытых файлов/папок/копий тоже на компьютере не обнаружил.
10. Запустил программу (точнее 2 разных) по восстановлению файлов сначала в "Корзине", потом "Рабочий стол" - где было самое главное из документов. Ничего не найдено, не понятно куда документы делись вообще ;(
11. Попробовал найти файлы/ключи шифровальщика по разным инструкциям в надежде получить зацепку. Ничего нет, собрал только в одну папку копии файлов vault.hta и vault.key раскиданные по разным местам.
12. Запустил программой восстановления глубокое сканирование всего диска в надежде найти хоть что-то из документов, либо пропавшие "точки восстановления", и пошёл "прицениваться" к крайнему варианту следуя инструкции... уже понимая что, что случай не простой.
12. Скачал тор-браузер, зашел на сайт. Загрузил vault.key, вошёл в свой кабинет. Оценил чудо автоматизации современных преступников! Система оплаты, проверки, выдача ключей, подробное FAQ - всё автоматизировано и по взрослому, и вообще видно, что разработано с душей! Работает live-chat для связи и даже маркетинг присутствует (цена вырастет через 8 дней! )) Сразу же программа оценила мой случай 16тыс файлов (хотя реально заражено было раз в 10-20 меньше), важность файлов оценена "HIGH" и соответственно цена за ключ восстановления "158$" (в биткоинах), присутствует ТОРГ!. Ну подумал на крайний случай подъемные деньги - жить можно, особенно если цену еще сбить. Я еще не знал, что главная ПОДСТАВА ждёт впереди.....
13. С радостью обнаружил в интерфейсе возможность пробного восстановления файлов, целых 4 штуки бесплатно + по запросу можно еще несколько ) ОГО подумал - ОТ ОНА ХАЛЯВА! Мне как раз из всех документов надо то было всего 1-2штуки, очень важных! А остальное можно и пережить... сейчас подумал я их быстренько восстановлю их и смогу торговаться до посинения..... ну или забыть про остальные файлы.. пфф ерунда ). Загружаю файлы в систему.
14. Файл1 - неудачно, Файл2 - неудачно, Файл3 - неудачно, Файл4..... Пишу в техподдержку, не отвечают.
15. Глубокое сканирование по восстановлению файлов закончено, смотрю результат - документов НОЛЬ. Зато нашёл удаленные точки восстановления! удаленные как раз во время заражения. Восстанавливаю файлы "точек" - не повреждены всё ок, надеюсь на возможность вытащить теневые файлы. Еще минут 40 манипуляций - без результатов. "Точки" восстановлены но Windows7 и "теневые" программы их не видят... видимо вирус дополнительно что-то подчистил (может в реестре). Курю интернет по восстановлению данных из "точек", сами файлы вот же они по 2-3гб!, но не всё так просто, нахожу пару тем без но без ответов, не более.... Сдаюсь, время 2 часа ночи, еду домой спать....
16. С утра переписываюсь с ТП в live-chat, рекомендации не прокатывают (пользователь на компе один, ключ тоже везде вроде одинаковый, проблемы на первый взгляд не видно). Переписка идёт долго, отвечают раз в 1-2 часа. Отправляю им несколько зараженных файлов и ключи в архиве через обменник. В ручную похоже тоже восстановить не могут, спросили было бы подключение к локалки, точно ли 1 пользователь работал и т.п. дал нужную информацию, пока молчат...
Надеюсь данная информация будет кому ни-будь полезной. Если есть кому что добавить пишите, возможно есть еще потенциал с программами восстановления (попробую другие), либо по оживлению точек восстановления. Если кто знает как вытащить файлы из "точки восстановления" пишите! Пока ищу информацию сам, её практически нет.
Основных вопроса ДВА!
1. Как вытащить информацию из восстановленных точек? Это решило вообще все бы проблемы.
2. Почему Vault не расшифровывается штатно? (не изза 2 ли одинаковых файлов которые антивирус заблочил в начале?), может там 2 прогона было.... скрипта "красная утилита" нашла тоже 2, хотя с виду одинаковых.
Заинтересованным людям, модераторам могу ответить на любые вопросы касательно программ что я использовал, передать файлы с вирусами, скрипты для изучения и т.п.
p.s.
забыл написать что походу дела еще тикет делал по дешефратору в сервис Dr.WEb. Мой номер "7***-9***" там есть скриншоты и некоторые файлы.
Прикрепленные файлы:
Сообщение было изменено VVS: 14 Январь 2016 - 14:42
Номера тикетов ТП на форуме публиковать нельзя