Тема поднималась, решения пролемы не нашел. Перебирал пароли которые были в теме : http://virusinfo.info/showthread.php...l=1#post892546. Итак:
После праздников файлы на пк были зашифрованы. Также все время работает процесс wasppacer (причем когда только воткнул интернет - заработала программа wasppacer - я не знаю что это, отключил интернет на всякий)
Ситуация выглядит так, как будто кто то подключился - поставил по и спокойно отключился... Зайдя через far manager - увидел скрытые папки - в них висят все данные но с расширением .rn, В свойтвах они как системные, если снять - то становятся видимы в системе.
Можете помочь расшифровать данные? (или преобразовать из расширения .rn) и избавить от процесса wasppacer?
логи avz и hijackThis прилагаются.
Могу приложить зашифрованный фаил (просто он не копируется на флешку, не хочет. Можно его скопировать через фар и то он на пол пути ошибку дает, но что-то все таки скопирует)
Последний раз редактировалось Sheykom; 13.05.2014 в 11:50.
Причина: Добавление текста про зашифрованный файл
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sheykom, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Чтобы не повторяться - выполните рекомендации отсюда. Особое внимание -файрволу и антивирусу, при правильных настройках этих компонентов защиты взлом снаружи, так скажем, будет весьма затруднён.
Не успел сохранить картинку по Lockdir, а из вложений она пропала - по адресу e-mail вымогателя можно попробовать поискать варианты дешифровки (хотя вряд ли, сразу предупреждаю).
Скрипт выполнил. Пароль снова поменял. Образ сделал.
Прошел по рекомендациям: Включить в антивирусе противодействие потенциально нежелательным программам - не нашел((
Брандмауэр был выключен, почему-то, когда все произошло. Сейчас включил, доступ разрешн только по 2м портам. Может подкинете статейки, как правильно настраивать, я в этом не особый специалист((
Возможность восстановить информацию мало, я так понимаю?
Последний раз редактировалось Sheykom; 14.05.2014 в 11:07.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В терминологии Антивируса Касперского скрыто установленные на сервере программы относятся к "потенциально опасному ПО (riskware)", как включить борьбу с ним, смотрите в этой статье/1526. Кстати, и проактивная защита может помочь в таих ситуациях.
Программу удалённого управления и кейлоггер, которые у вас удалили, продукты Касперского определяют как
not-a-virus:RemoteAdmin.Win32.Agent.lr и not-a-virus:Monitor.Win32.KGBSpy.cg соответственно. Wasppacer попробую отослать им отдельно, чтобы добавили в базы.
Что касается статей, как настраивать брандмауэр и систему безопасности вообще - навскидку не дам ссылок, читайте книги по компьютерной безопасности и системному администрированию, а главное - постарайтесь осознать угрозы и то, откуда они могут исходить. Ну, и про бэкапы не забывайте.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Заметил, что удалилась программа запроса кода для расшифровки. и ушел процесс WASPPACER - за что благодарен, а то меня уже дергают мол хрен с ним сноси систему и ставь заново.
Последний раз редактировалось Sheykom; 14.05.2014 в 14:48.
На всякий случай сохраните где-то.
А утерянные файлы хороший админ восстанавливает из вчерашнего бэкапа
Кстати, если восстановление системы включено, можно попробовать вернуть файлы через него.
Я видимо плохой админ=(, бэкапов нет, а те что есть, кто их делал не знаю, - они зашифрованы. Сейчас смотрел логи пк, там тип этот, конечно ломился в систему нещадно, столько раз пробывал подрубиться.... скажите есть версии как он мог подключиться?
Бэкапы должны делаться на другое устройство, желательно сетевой ресурс, который в явном виде, как сетевой диск, недоступен под учёткой, в которой работаете на сервере. Например, сетевое хранилище, на нём отдельная учётка для бэкапов и раздел, доступный на запись, только под ней. А на сервере под этим пользователем работает программа, делающая резервные копии, например, Cobian Backup 11 хорошо для такой задачи подходит. Работает с теневыми копиями, как сервис, жмёт крепко в .7Z.
По поводу проникновения - смотрите логи, Вам лучше знать, каким образом открыт снаружи доступ к серверу. Самые распространённые варианты - по RDP, через уязвимости или подбор пароля WEB-сервера, SQL-серверов, через подсаженый бэкдор. Последний вариант - вполне вероятен, удалённое администрирование было.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: