Зашифровались файлы на терминальном сервере [Trojan-Ransom.Win32.Cryakl.ar ]

[Олег Резник]

Добрый день!
На терминальном сервере зашифровались файлы. Тела вируса нет. Логи сделаны локально. Server 2003 x64 R2. В прикрепленных файлах: логи диагностики AVZ и Hijackthis, в архиве files зашифрованый файл и оригинал.

[Info_bot]

Уважаемый(ая) Олег Резник, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('C:\Documents and Settings\terminal_\Program Files (x86)\1\1cb.exe', '');
 QuarantineFileF('C:\Documents and Settings\terminal_\Program Files (x86)\1', '*', true, '', 0, 0, '', '', '');
 DeleteFile('C:\Documents and Settings\terminal_\Program Files (x86)\1\1cb.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'progrmma');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузите сервер.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Смените пароли на учётки с администраторскими правами и с правами работы в терминальном режиме, у кого они были не по делу - отобрать права администратора. Запускался шифровальщик под пользователем terminal_ - с ним в первую очередь разберитесь.

Доступ по RDP к серверу только из локальной сети, или из интернета?

[Олег Резник]

Доступ по RDP к серверу из локальной сети и из интернета. Файл с карантином отправил по ссылке "Прислать запрошенный карантин".

[Vvvyg]

Удалите папку C:\Documents and Settings\terminal_\Program Files (x86)\1.

С расшифровкой не поможем.

Восстанавливайте из бэкапов, пробуйте найти в расшаренных папках на вкладке "Предыдущие версии".

Рекомендации по безопасности:

Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[Олег Резник]

Большое спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\terminal_\program files (x86)\1\1cb.exe - Trojan-Ransom.Win32.Cryakl.ar ( DrWEB: Trojan.Encoder.567, BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )