Здравствуйте. Поймал на сервере вирус/шифровальщик, который зашифровал и добавил расширение файлам. Теперь файлы имеют вид: document.doc.id-{...}[email protected] Инструкцию и запрос оформляю, но пока вопрос:
1) существовали случаи выздоровления к этой версии шифровальщика ?
2) На сколько сложно и долго делать лечение, просто есть бэкапы 1С, а папки пользователей не зашифрованы, то может сразу проще переустановить Windows server (т.к. пользователей там сейчас не много)?
Последний раз редактировалось Артем83; 06.04.2015 в 10:00.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Артем83, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
;uVS v3.85.13 http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
del %SystemDrive%\DOCUMENTS AND SETTINGS\ОХРАНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-{LFNDYARITSKBBTKOQHKCEHZQEVNESWNETKBS-03.04.2015 0@34@094848544}[email protected]
delref %SystemDrive%\PROGRAM FILES\1CV82\COMMON\1CESTART.EXE.ID-{LFNDYARITSKBBTKOQHKCEHZQEVNESWNETKBS-03.04.2015 0@34@094848544}[email protected]
delref %Sys32%\05.TMP
del %SystemDrive%\PROGRAM FILES\1CV82\COMMON\1CESTART.EXE.ID-{LFNDYARITSKBBTKOQHKCEHZQEVNESWNETKBS-03.04.2015 0@34@094848544}[email protected]
delref %SystemDrive%\DOCUMENTS AND SETTINGS\EGOR\WINDOWS\TEMP\JF-UTILITY.EXE
delref AUTORUN.PIF
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINDOWS\APPLICATION\JF-UTILITY.EXE
Пошифровало, похоже, всё, включая приложения.
Восстанавливайте из резервных копий, переустанавливайте программы.
Часть зашифрованного, возможно, удастся восстановить по сети в свойствах расшаренных папок на вкладке "предыдущие версии".
Базы 1С в некоторых случаях успешно чинятся утилитой проверки и восстановления.
Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли. Для 99% программ проблемы с работой под пользователем без прав администратора решаются изменением прав безопасности на соответствующие папки и ветки реестра.
MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Установите все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
На мой взгляд, лучше вообще запретить пользователям (да и админам без особой надобности тоже) выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, это повышает вероятность взлома на порядок. Пользователь должен выходить в интернет со своего компьютера. Политики безопасности для того и существуют.
При выполнение скрипты выдало ошибку:
Ошибка: 'BEGIN' expected в позиции 1:1
Так же вопрос по поводу вашей фразы: "Пошифровало, похоже, всё, включая приложения.
Восстанавливайте из резервных копий, переустанавливайте программы."
Это означает что расшифровать нет шансов и не стоит? Делай как написано!
Считайте, что вердикт окончательный. Вариант расшифровки если и появится, то когда файлы будут уже неактуальны.
Спасибо за помощь и отведенное время, но у меня последний вопрос эта зараза после восстановления из бэкапов и удаления видимых зашифрованных файлов, живет еще в системе она вообще, на сколько её стоит опасаться? или ее один раз активировали, повторно возможно только если новое письмо не прилетит или повторно через дырку не вольют?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: