19 ответов в этой теме

[Ivan.86]

Пользователь работает в системе Windows 7 32bit, с ограниченными правами. На ПК установлен корпоративный анивирус от сервера DrWeb ES. Все файлы были переименованы с расширением  *.better_call_saul. Самое печальное что он зашифровал даже резервные копии базы данных 1С 8.3 сжатые в архив на другом диске. Т.е. на данный момент сказать что ситуация критическая, это не сказать ничего. На ПК была установлена 1С Зарплата и резервная копия делалась ежедневно на другой физический диск. Я  ни как не мог подумать что антивирус пропустит такую нечисть, по этому страховал базу только от сбоя диска.

Ссылка на файл отчёта с машины: https://yadi.sk/d/bqL2qKy3qemaX

Прикрепил образцы файлов.

Прикрепленные файлы:

•  drweb.zip   291,54К   6 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[maxic]

Ivan.86, смотрю я ваши логи.

Наблюдаю в них исключения для SpiderGuard:

 

C:\users\зам дир по соц\appdata\local\temp

 

И в логе сервиса наблюдаю:

2016-Apr-01 11:22:28.053922 [2704] [INF] [4428] [DPH] <PModi> \Device\HarddiskVolume3\Users\Зам Дир по Соц\AppData\Local\Temp\rad9806B.tmp is not trusted process
2016-Apr-01 11:22:28.101925 [2704] [INF] [3212] [DPH] <PInj> Process '\Device\HarddiskVolume3\Users\Зам Дир по Соц\AppData\Local\Temp\rad9806B.tmp' is injecting to 'C:\Users\Зам Дир по Соц\AppData\Local\Temp\rad9806B.tmp' at: 2
2016-Apr-01 11:22:28.114925 [2740] [INF] [4428] [DPH] Ark validate_process: EventID 4037 status: 666 is bad
2016-Apr-01 11:22:28.223932 [2704] [INF] [4428] [DPH] Ark validate_process: EventID 4041 status: 666 is bad
2016-Apr-01 11:22:28.223932 [2740] [INF] [4428] [DPH] <PModi> \Device\HarddiskVolume3\Users\Зам Дир по Соц\AppData\Local\Temp\rad9806B.tmp is not trusted process
2016-Apr-01 11:35:25.694400 [2908] [INF] [event-processor] process_virus
2016-Apr-01 11:35:25.695401 [2908] [INF] [event-processor] process_event
2016-Apr-01 11:35:25.695401 [2908] [INF] [event-processor] store

 

То есть - перевожу на человеческий язык. Вы недовольны тем, что вирус отработал из места, которое вы сами добавили в исключения для антивируса? Причем, как видно из лога, превентивная защита опознала подозрительное действие как вредное. Но согласно вашим настройкам работа данному коду была разрешена.

[at.]

>  Apr-01

 

Sad but true.

[v.martyanov]

Один вопрос: ЗАЧЕМ?!

[maxic]

v.martyanov, вопрос про добавление %temp% в исключения?

[v.martyanov]

Да, это же рассадник заразы...

[VVS]

Офтопик переехал - http://forum.drweb.com/index.php?showtopic=324399

Модератор.

Сообщение было изменено VVS: 03 Апрель 2016 - 11:46

[VVS]

Возвращаясь к теме...

Ни 1 антивирус не в состоянии обеспечить 100% защиту.

Если бы такой был, то все остальные были бы не нужны.

Так что пропуск возможен в любом случае, даже если бы %temp% не был внесён в исключения, как в этом случае.

Пока что IMHO технокрысы особо не заморачиваются развитием "бронебойности" функционала своего поделия (вспомним песенку кота Базилио и лисы Алисы), так что (опять пока что) для любых бэкапов на подключенные диски должно действовать правило - эти бэкапы не должны быть доступны на запись текущему пользователю (а ещё лучше - и админу тоже).

[Ivan.86]

Ребята. Самое печальное что ни на одном компьютере как глобальными настройками, так и индивидуальными, я не добавлял в исключения папку %temp%. Я прекрасно понимаю к чему это может привести и по этому никогда бы не решился на такое.

[VVS]

Не само ж оно...
Там вообще в исключениях чудеса:

20160331.151057.788 [4968] User pathes
20160331.151057.788 [4968] C:\program files '^C:\\program files(\\.*)?$' (155 bytes)
20160331.151057.788 [4968] C:\Program Files\1cv82 '^C:\\Program Files\\1cv82(\\.*)?$' (167 bytes)
20160331.151057.788 [4968] C:\users\зам дир по соц\appdata\local\temp '^C:\\users\\зам дир по соц\\appdata\\local\\temp(\\.*)?$' (219 bytes)
20160331.151057.788 [4968] C:\users\зам дир по соц\appdata\roaming\microsoft\windows\recent\customdestinations '^C:\\users\\зам дир по соц\\appdata\\roaming\\microsoft\\windows\\recent\\customdestinations(\\.*)?$' (306 bytes)
20160331.151057.788 [4968] c:\work '^c:\\work(\\.*)?$' (137 bytes)
20160331.151057.788 [4968] C:\Work\dipost '^C:\\Work\\dipost(\\.*)?$' (152 bytes)
20160331.151057.788 [4968] C:\Work\dipost\Referent.exe '^C:\\Work\\dipost\\Referent\.exe(\\.*)?$' (178 bytes)
20160331.151057.788 [4968] d:\1cBase '^d:\\1cBase(\\.*)?$' (141 bytes)
20160331.151057.788 [4968] D:\1C_Base\ZBU_SKGC '^D:\\1C_Base\\ZBU_SKGC(\\.*)?$' (163 bytes)
20160331.151057.788 [4968] D:\Налогоплательщик ЮЛ '^D:\\Налогоплательщик ЮЛ(\\.*)?$' (184 bytes)
20160331.151057.788 [4968] F: '^F:\\.*$' (117 bytes)
20160331.151057.788 [4968] \\GLAVBUH\1cBase '^\\\\GLAVBUH\\1cBase(\\.*)?$' (155 bytes)

Сообщение было изменено VVS: 04 Апрель 2016 - 09:13

[VVS]

Весь C:\program files, полностью диск F:

[АВаТар]

я не добавлял в исключения папку %temp%

Значит, это у вас не персональный компьютер, а компьютер общего пользования.

[IlyaS]

User pathes - только у меня глаз дернулся?

А вообще, грамотно примененные регэкспы. Думается, когда и кем так было настроено, где-то в таблице аудита сервера.

Сообщение было изменено IlyaS: 04 Апрель 2016 - 10:41

[VVS]

User pathes - только у меня глаз дернулся?

А вообще, грамотно примененные регэкспы. Думается, когда и кем так было настроено, где-то в таблице аудита сервера.

Это не регэкспы.

Точнее так - исключаемые пути преобразуются в регэкспы самой прогой, так что это просто внутреннее представление.

А видно оно потому, что у пользователя включен отладочный лог спайдера.

Кстати, настоятельно рекомендую отключить его, а то он уже больше 2-х гигов.

[Ivan.86]

Сейчас удалил все персональные настройки со всех машин и делаю заново установки. Столкнулся с тем что включение многих настроек и опций намертво вешают машины даже при обращении к простой почте.  Может есть какие то рекомендации для настройки максимальной безопасности + комфортность работы?

[pig]

Что по умолчанию, то и рекомендовано. Будут проблемы - будем решать по месту.

[VVS]

Что по умолчанию, то и рекомендовано. Будут проблемы - будем решать по месту.

И да - не в этой теме.

Модератор.

[Ivan.86]

В сапорте ответили что нет вариантов расшифровать данные так как слишком стойкое шифрование. Так как вариантов нет, то считаю бесполезным продолжать тему по крайней мере с таким заголовком.  Все диски отформатировал(вс равно данные не восстановить), все настройки антивируса снёс и поставил по умолчанию. Добавил в исключения 1С пути и некоторые процессы. Теперь буду разрабатывать алгоритм резервного копирования и сохранности данных в организации(ума же не хватило раньше этого сделать, всё надеялся что ограниченная учётка и антивирус от всего защитят). 

[VVS]

Добавил в исключения 1С пути и некоторые процессы.

Эта фраза мне уже не нравится.
Впрочем, если есть желание обсудить, то в отдельную тему.

Теперь буду разрабатывать алгоритм резервного копирования и сохранности данных в организации(ума же не хватило раньше этого сделать, всё надеялся что ограниченная учётка и антивирус от всего защитят).

Я использую Acronis.
На компе UAC включен по полной.
Работаю с правами юзера.
Бэкап производится на отдельный диск.
Каталог с бэкапом юзерам и админам доступен только на чтение.
Это так, просто в качестве примера.

Тема закрыта.
Модератор.