-
Junior Member (OID)
- Вес репутации
- 36
Зашифрованы файлы! [not-a-virus:NetTool.Win32.Wasppace.l, HEUR:Trojan.Win32.Generic
]
Сегодня утром обнаружил что все файлы на сервере зашифрованы. Просит связаться со злоумышленниками по адресу [email protected]. прикрепляю архив с примерами файлов, скриншот с диалоговым окном и два важных для вас файла
Все файлы имеют расширение .NKS
КОНТРАГЕНТЫ.rar
hijackthis.log
virusinfo_syscheck.zip
Последний раз редактировалось Андрей Мелентьев; 21.08.2014 в 09:34.
Причина: Новая Информация
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Андрей Мелентьев, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Базы обновите. Логи сделайте не через терминальную сессию. Пароли от RDP и всех учетных поменять на более стойкие.
-
-
Junior Member (OID)
- Вес репутации
- 36
Отправляю вам логи без RDP сессии все пароль укреплены.
virusinfo_syscheck.zip
Последний раз редактировалось Андрей Мелентьев; 22.08.2014 в 07:31.
Причина: Простите не тот файл
-
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\37AA~1\AppData\Local\Temp\134\Zi5M57ow0Gj9T4G.exe','');
QuarantineFile('C:\Recycle.Bin$\S-1-5-18-3-6-34-65\wizard.exe','');
QuarantineFile('C:\DefaultWin\DefaultFiles\Temp\was.vbs','');
DeleteFile('C:\DefaultWin\DefaultFiles\Temp\was.vbs','32');
DeleteFile('C:\Recycle.Bin$\S-1-5-18-3-6-34-65\wizard.exe','32');
DeleteFile('C:\Users\37AA~1\AppData\Local\Temp\134\Zi5M57ow0Gj9T4G.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2739740430-161323386-2977295252-1027\Software\Microsoft\Windows\CurrentVersion\Run','sse');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2739740430-161323386-2977295252-1027\Software\Microsoft\Windows\CurrentVersion\Run','wizard');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2739740430-161323386-2977295252-1034\Software\Microsoft\Windows\CurrentVersion\Run','wizard');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmeter','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
-
-
Junior Member (OID)
- Вес репутации
- 36
-
Выполните скрипт в uVS:
Код:
;uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
breg
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\1212.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\1212.EXE
zoo %SystemDrive%\RECYCLE.BIN$\S-1-5-18-3-6-34-60\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN$\S-1-5-18-3-6-34-60\WASPPACER.EXE
delall %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_64\MMCEX\7999D1DAC24CCE2D8927E465347E7970\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\MMCEX\6FCE2372FDCB87C844877A377ACFFAC0\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\MMCEX\6D4BACFD54E8F79763945BEE5A50711D\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\BILL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ЮРИЙ ГЛУШЕНКО\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\МЕЛЬНИКОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\CЕРГЕЙ ЮРИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\РИНАТ ИБРАГИМОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ЦЕХ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\СЕРГЕЙ МИЛОВАНОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ОЛЬГА КОЛБИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\МАКСИМ ГАЛИМУЛИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ЛЮДМИЛА УСОВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ЕЛЕНА ХЛЕБНИКОВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ВИКТОР ПЛОТНИКОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ВЛАДИМИР МЕЛЬНИКОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\АСИЯ САФИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\АРТУР ХУСНУЛЛИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\АННА ОРЛОВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\FEDORM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
exec C:\Program Files (x86)\WebBars\uninstall.exe
czoo
restart
На запросы удаления программ соглашайтесь. По окончанию выполнения скрипта перезагрузите сервер вручную. Архив ZOO из папки uVS пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог uVS.
-
-
Junior Member (OID)
- Вес репутации
- 36
-
Microsoft SQL Server 2005 обновите до Service Pack 4, поменяйте пароли на нём (SA в первую очередь) на сложные.
Проверьте на Kerio Control разрешающие правила, доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления.
-
-
Где новый лог uVS? Инструкцию по расшифровке файлов не выдам пока не увижу чистых логов.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- \wasppacer.exe._7610d64a21ef562b998f4298fd7219ef11 eafcdd - not-a-virus:NetTool.Win32.Wasppace.l ( BitDefender: Gen:Variant.Strictor.53196 )
- \1212.exe._2d886ea0b1d9ceb2d2ce34eee7d1fd5c1ad5ac9 8 - HEUR:Trojan.Win32.Generic ( BitDefender: Generic.Malware.Sprn.907D98C4 )
-