Показано с 1 по 14 из 14.

Поймал вирус/шифровальщик с окончанием [email protected] (заявка № 181302)

  1. #1
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    33

    Поймал вирус/шифровальщик с окончанием [email protected]

    Здравствуйте. Поймал на сервере вирус/шифровальщик, который зашифровал и добавил расширение файлам. Теперь файлы имеют вид: document.doc.id-{...}[email protected] Инструкцию и запрос оформляю, но пока вопрос:
    1) существовали случаи выздоровления к этой версии шифровальщика ?
    2) На сколько сложно и долго делать лечение, просто есть бэкапы 1С, а папки пользователей не зашифрованы, то может сразу проще переустановить Windows server (т.к. пользователей там сейчас не много)?
    Последний раз редактировалось Артем83; 06.04.2015 в 10:00.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Артем83, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Сделайте логи по правилам.

    Переустанавливать Windows server не нужно, необходимо удалить шифровальщик и настроить безопасность.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    33
    Логи
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     DeleteService('nxuverxrk');
     DeleteService('qrlnq');
     DeleteService('pjfrbzyx');
     DeleteService('bszkpm');
    end.
    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    33
    Образ после выполнения скрипта
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.85.13 http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v385c
    del %SystemDrive%\DOCUMENTS AND SETTINGS\ОХРАНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-{LFNDYARITSKBBTKOQHKCEHZQEVNESWNETKBS-03.04.2015 0@34@094848544}[email protected]
    delref %SystemDrive%\PROGRAM FILES\1CV82\COMMON\1CESTART.EXE.ID-{LFNDYARITSKBBTKOQHKCEHZQEVNESWNETKBS-03.04.2015 0@34@094848544}[email protected]
    delref %Sys32%\05.TMP
    del %SystemDrive%\PROGRAM FILES\1CV82\COMMON\1CESTART.EXE.ID-{LFNDYARITSKBBTKOQHKCEHZQEVNESWNETKBS-03.04.2015 0@34@094848544}[email protected]
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\EGOR\WINDOWS\TEMP\JF-UTILITY.EXE
    delref AUTORUN.PIF
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINDOWS\APPLICATION\JF-UTILITY.EXE
    Пошифровало, похоже, всё, включая приложения.

    Восстанавливайте из резервных копий, переустанавливайте программы.

    Часть зашифрованного, возможно, удастся восстановить по сети в свойствах расшаренных папок на вкладке "предыдущие версии".
    Базы 1С в некоторых случаях успешно чинятся утилитой проверки и восстановления.

    Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли. Для 99% программ проблемы с работой под пользователем без прав администратора решаются изменением прав безопасности на соответствующие папки и ветки реестра.

    MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

    Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    Установите все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

    Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    На мой взгляд, лучше вообще запретить пользователям (да и админам без особой надобности тоже) выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, это повышает вероятность взлома на порядок. Пользователь должен выходить в интернет со своего компьютера. Политики безопасности для того и существуют.
    WBR,
    Vadim

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    33
    При выполнение скрипты выдало ошибку:
    Ошибка: 'BEGIN' expected в позиции 1:1
    Так же вопрос по поводу вашей фразы: "Пошифровало, похоже, всё, включая приложения.

    Восстанавливайте из резервных копий, переустанавливайте программы."
    Это означает что расшифровать нет шансов и не стоит? Делай как написано!

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от Артем83 Посмотреть сообщение
    При выполнение скрипты выдало ошибку:
    Ошибка: 'BEGIN' expected в позиции 1:1
    Перечитайте, в какой программе надо выполнить скрипт.

    Цитата Сообщение от Артем83 Посмотреть сообщение
    Восстанавливайте из резервных копий, переустанавливайте программы."
    Это означает что расшифровать нет шансов и не стоит?
    Да, не обращаясь к вымогателю, пока без шансов.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    33
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Перечитайте, в какой программе надо выполнить скрипт.
    Виноват. Файл отправлен согласно инструкции
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Да, не обращаясь к вымогателю, пока без шансов.
    Жду окончательного вашего вердикта и тогда буду действовать согласно него.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Считайте, что вердикт окончательный. Вариант расшифровки если и появится, то когда файлы будут уже неактуальны.
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    33
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Считайте, что вердикт окончательный. Вариант расшифровки если и появится, то когда файлы будут уже неактуальны.
    Спасибо за помощь и отведенное время, но у меня последний вопрос эта зараза после восстановления из бэкапов и удаления видимых зашифрованных файлов, живет еще в системе она вообще, на сколько её стоит опасаться? или ее один раз активировали, повторно возможно только если новое письмо не прилетит или повторно через дырку не вольют?

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Активного шифровальщика в системе нет, они обычно самоуничтожаются, сделав своё дело.
    По безопасности рекомендации дал выше.
    WBR,
    Vadim

  16. Это понравилось:


  17. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Артем83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус-шифровальщик [email protected]
      От LookingBal в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.03.2015, 22:27
    2. Ответов: 4
      Последнее сообщение: 21.01.2015, 15:10
    3. Ответов: 4
      Последнее сообщение: 23.10.2014, 13:02
    4. Шифровальщик файлов от [email protected]
      От Kupava в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.10.2014, 19:02
    5. Ответов: 2
      Последнее сообщение: 04.07.2014, 15:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00206 seconds with 20 queries