Шифровальшик, который не меняет расширения файлов [Trojan-Downloader.JS.Agent.hav
]
Добрый день. Столкнулся с вирусом-шифровальщиком, который не изменяет расширение кодируемых файлов и не дописывает ничего в конце названия файла. Антивирус ничего не находит. Размер измененных файлов становится больше примерно на 470 байт у каждого. Плюс, нет никаких всплывающих окон, текстовых файлов, изменения обоев рабочего стола в которых были бы инструкции по дальнейшей расшифровке, короче ничего, чтобы позволило связаться с хозяевами данного продукта. Из уникального, остались несколько копий кодированных файлов с добавленным расширением "TMP0". И соответственно несколько таких же исходных файлов с прежним расширением, которые вирус не смог подменить при заключительном этапе зашифровки. Выглядит это вот так: был- СПИСОК.TXT, добавился-СПИСОК.TXT.tmp0. При этом исходный файл СПИСОК.TXT остался нормальным не закодированным!!! Это получилось вероятно из-за того, что на данный файл был наложен атрибут "только для чтения". А поскольку вирус при кодировании создавая копии исходных файлов и внося в них изменения на заключительном этапе подменяет исходник копией (это выяснили при попытке найти удаленные файлы, которых не оказалось вообще), то данный атрибут не позволил ему это сделать. Таким образом осталось некоторое количество нетронутых файлов-оригиналов и появились их зашифрованные копии.
Просматривая записи в различных форумах нашел несколько похожих случаев, но на них не было ни одного ответа. С момента последней записи по данной проблеме прошло уже около трех месяцев. Может быть за это время появились какие-то наработки или мысли. Поделитесь инфой, если кто сталкивался с таким случаем. Заранее благодарен всем откликнувшимся.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) dima-stepanov, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте. Что запускалось точно сказать не могу постольку много пользователей, и никто пока не говорит о подозрительных письмах на электронку. Плюс ко всему у меня шифрование файлов началось глубокой ночью в 2:00. В это время никаких пользователей или RDP сеансов не было. Читал на форумах, что были случаи когда от момента заражения через почтовое вложение до, непосредственно, самого итога шифрования проходило три дня. Пока просматриваю все почты, чтобы попробовать найти нужное письмо.
Логи, как Вы указали, прикладываю.
Спасибо.
Да, Вы правы. Во второй половине марта была ситуация с шифрованием. Но она очень легко решилась. И плюс к этому на машине было полно TXT-шных файлов от вируса с рекомендациями. Антивирус вроде как все почистил и до недавнего времени проблема эта не всплывала. Сегодня буду делать следующие логи. И выложу их.
Спасибо всем откликнувшимся.
Здравствуйте. Извините за сумбур, который я внес, но я имел ввиду, что программка MTMonito- это нами установленный софт. Единственно что файл focblik.dll-не понятно что за зверь, но Касперский уже его убил, еще днем, а скрипт выполняли вечером после работы, когда пользователей уже нет в системе.
wizard.exe- тоже убит Касперским. И тоже днем. Поэтому, как мне кажется, в карантине их уже не будет.
Как Вы указали, в течение сегодняшнего дня сделаю полный образ.
Спасибо.
- - - Добавлено - - -
Добрый вечер. Логи пока сделать не получилось, но в журнале AVP сегодня увидел новую активность.
Вот эта запись:
Неактивно Счета СФ-14-165261, СФ-14-173621, СФ-14-137284 скан-копии LaserJet HP 1490 июль 2014 года бухгалтерия-СОГЛАСОВАНО_Ок для оплаты_DrWeb_mail_attachment_secure_doс .js
Получается , что у меня до сих пор что-то хозяйничает.
Но вопрос в том: можно ли как-то по этим данным найти у меня на машине ответную часть, чтобы попробовать из нее как-то выудить информацию либо о дате заражения и письме, в котором был исходник, либо контакты "куда деньги нести". Заранее благодарен всем откликнувшимся. Спасибо.
Последний раз редактировалось olejah; 19.08.2014 в 23:15.
Причина: Ссылка на загрузку шифровальщика
(http://...)
Объясните, как именно организована почта, выход в интернет. Надеюсь, не с сервера в терминальном режиме лазят?
Добрый день. Сегодня уточнил у нашего системного администратора. Как выяснилось, именно так все и организовано. Выход в интернет с сервера в терминальном режиме.....
- - - Добавлено - - -
Сообщение от Vvvyg
Все? И это тоже:
Код:
C:\Recycle.Bin$\S-1-5-18-3-6-34-65\wizard.exe
Скрипт выполнили? Загрузите карантин, сделайте полный образ автозапуска uVS, как я просил, можно из терминальной сессии.
Сегодня попытались сделать образ автозапуска uVS. Выдал ошибку. Принт скрин прикладываю. Спасибо.
C сервера должны запускать только программы типа 1C, браузеры, офисные программы и пр. - только со своих компьютеров. Перед запуском uVS отключите временно антивирус.
C сервера должны запускать только программы типа 1C, браузеры, офисные программы и пр. - только со своих компьютеров. Перед запуском uVS отключите временно антивирус.
Та же самая ошибка - что с выключенным антивирусом, что с включенным. Программа запускается, но в процессе стартового сбора информации выдает ошибку.
Спасибо.
Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:
Scan All Users Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files; Lop Check; Purity Check.
В окне File Age установите 30 days
Остальные параметры оставьте по умолчанию.
Скопируйте текст
Код:
%CommonProgramFiles%\*.*
в окно Custom Scans/Fixes и нажмите Run Scan.
После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.
Добрый вечер. Логи пока сделать не получилось, но в журнале AVP сегодня увидел новую активность.
Вот эта запись:
Неактивно Счета СФ-14-165261, СФ-14-173621, СФ-14-137284 скан-копии LaserJet HP 1490 июль 2014 года бухгалтерия-СОГЛАСОВАНО_Ок для оплаты_DrWeb_mail_attachment_secure_doс .js
Но вопрос в том: можно ли как-то по этим данным найти у меня на машине ответную часть, чтобы попробовать из нее как-то выудить информацию либо о дате заражения и письме, в котором был исходник, либо контакты "куда деньги нести". Заранее благодарен всем откликнувшимся. Спасибо.
Во вложении то, что скачивается по ссылке
Последний раз редактировалось dima-stepanov; 20.08.2014 в 15:39.
Ёлки-палки, в 3-й раз ссылка на шифровальщик от Вас... Вы сюда пришли зловреды распространять, что ли?
Всё подозрительное - в карантин грузите, в правилах описано как.
Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:
Scan All Users Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files; Lop Check; Purity Check.
В окне File Age установите 30 days
Остальные параметры оставьте по умолчанию.
Скопируйте текст
Код:
%CommonProgramFiles%\*.*
в окно Custom Scans/Fixes и нажмите Run Scan.
После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.
Бардак... Нет желания и времени разгребать эти авгиевы конюшни, если честно, это означает сделать полноценный аудит информационной безопасности. У вас сисадмин есть, это его долг и забота. Ограничусь строками в логе, на которые надо обратить внимание:
Код:
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1152\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155\..\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}: "URL" = http://webalta.ru/search?q={searchTerms}&from=IE
O4 - HKU\S-1-5-21-3525092714-1565393411-2929879843-1130..\Run: [C:\Documents and Settings\malukov_a\Мои документы\Downloads\xxx_video.scr] C:\Documents and Settings\malukov_a\Мои документы\Downloads\xxx_video.scr File not found
O4 - HKU\S-1-5-21-3525092714-1565393411-2929879843-1152..\Run: [pagesys] C:\Documents and Settings\sklad2\Мои документы\Загрузки\buh13\wasppacer.exe (WaspAce)
O4 - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155..\Run: [0f7740838836e00a2f572a2cd3468751] iexplore.exe File not found
O4 - Startup: C:\Documents and Settings\Sklad\Главное меню\Программы\Автозагрузка\Ярлык для dgfnbnvfgryty5565ytiyiykjlkyhrfgdgfhtgu5yr.lnk = File not found
O20 - HKU\S-1-5-21-3525092714-1565393411-2929879843-1130 Winlogon: Shell - (C:\Documents and Settings\malukov_a\Мои документы\Downloads\xxx_video.scr) - File not found
[2014.08.17 22:24:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\roman\Application Data\gnupg
[2014.08.14 10:22:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Stahiv_V\Application Data\GetnowUpdater
[2014.03.22 01:35:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Sklad\Application Data\newSI_3
[2014.03.22 01:35:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Sklad\Application Data\newSI_4
[2014.08.18 13:01:48 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Application Data\mtml
[2014.03.22 02:02:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\2562
[2014.03.22 01:35:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\AMMYY
Если есть возможность загрузить сервер в безопасном режиме - дам скрипт для OTL, который это почистит. Там и кейлоггеры должны, кстати, быть.
И общие рекомендации.
Меры против взлома надо принять как организационные, так и технические.
1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.
2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.
2. MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
4. Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.
5. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Я уже не говорю о том, что в домене можно жёстко ограничить пользователей политиками и правами безопасности, чтобы ни установить, ни стереть, ни запустить ничего лишнего не могли. Бэкапы, теневые копии по расписанию - и практически можно не бояться шифровальщиков.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: