И нас постигла беда...
Все на сервере зашифровано. Каким вирусом - не знаю.
Есть файл зашифрованный и есть оригинал. Можно найти шифр?
И нас постигла беда...
Все на сервере зашифровано. Каким вирусом - не знаю.
Есть файл зашифрованный и есть оригинал. Можно найти шифр?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ivvvvvvan, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Похоже на Kruptos 2 Professional.
Сделайте логи по правилам.
WBR,
Vadim
Вот логи
Ammyy Admin - c:\windows\system32\mdm.exe - ваш?
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
удалите пожалуйста тему и заявку (заявка № 17743. повтор темы по ошибки.
спасибо
Жду полный образ автозапуска uVS и ответа по Ammyy Admin.
WBR,
Vadim
Ammy admin пользуемся, наш скорее всего. но запускали всегда AA_v3
Последний раз редактировалось ivvvvvvan; 16.02.2015 в 14:02.
Уточните именно по такому расположению файла, смущает нестандартное имя и расположение файла, а также то, что загружается он с параметрами -nogui -service - скрытно, как служба. Похоже, это злоумышленники установили. Да и создан недавно: 12.02.2015 в 22:25:06. Удаляем.Сообщение от ivvvvvvan
Выполните скрипт в uVS:Перезагрузите сервер вручную.Код:;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.0 v385c zoo %Sys32%\OOBE\RU-RU\MSOOBE\KRUPTOS2PRO.EXE zoo delall %Sys32%\MDM.EXE delall %Sys32%\MDM.EXE czoo
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Похоже, с этого момента сервер был под контролем злоумышленников. Зашифровано, как я и предполагал, с помощью Kruptos 2 Professional, шансов на расшифровку нет, скорее всего.
Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли. Для 99% программ проблемы с работой под пользователем без прав администратора решаются изменением прав безопасности на соответствующие папки и ветки реестра.
Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Включите в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP) - если есть такая функция.
Проверьте, если теневые копии делались по расписанию, в свойствах папки на закладке "Предыдущие версии" есть шанс найти и восстановить незашифрованные файлы. Но, поскольку взломщики имели доступ к серверу с правами администратора - если не дураки, они защиту системы могли отключить и удалить теневые копии.
WBR,
Vadim
зашел на второй сервак, на нем тоже такая же история, но плюс ко всему открытый шифровальщик.выделяю файлы нажимаю декрипт, просит пароль.шансы есть?
Те, кто зашифровал, обычно оставляют координаты для связи. Судя по описанию Kruptos 2 и используемым алгоритмам - надежды на расшифровку мало.
WBR,
Vadim
писали на оба адреса - ответа нет.........
"... Здравствуйте! Мы LulzSec атоковали Ваш компьютер!
Вся Ваша информация, включая базы данных, документы, бэкапы,
и прочие файлы была зашифрована при помощи криптостойких алгоритмов.
Все зашифрованные файлы имеют расширение .
K2P Восстановить файлы можно только при помощи дешифратора
и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы!
А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес [email protected]
(в случае если вам не ответили в течение 12 часов,
то продублируйте письмо на почту [email protected])
для получения дальнейших инструкций.
Мы расшифруем один абсолютно любой файл .
K2P для вас бесплатно (кроме баз данных, за которые,
собственно, вы нам и платите)
Для этого прикрепите его и файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT"..."
Тогда - бэкапы, теневые копии. Других вариантов нет. И предотвращайте взлом серверов, а то повторится.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ivvvvvvan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
