Шифровальшик, который не меняет расширения файлов [Trojan-Downloader.JS.Agent.hav ]

Добрый день. Столкнулся с вирусом-шифровальщиком, который не изменяет расширение кодируемых файлов и не дописывает ничего в конце названия файла. Антивирус ничего не находит. Размер измененных файлов становится больше примерно на 470 байт у каждого. Плюс, нет никаких всплывающих окон, текстовых файлов, изменения обоев рабочего стола в которых были бы инструкции по дальнейшей расшифровке, короче ничего, чтобы позволило связаться с хозяевами данного продукта. Из уникального, остались несколько копий кодированных файлов с добавленным расширением "TMP0". И соответственно несколько таких же исходных файлов с прежним расширением, которые вирус не смог подменить при заключительном этапе зашифровки. Выглядит это вот так: был- СПИСОК.TXT, добавился-СПИСОК.TXT.tmp0. При этом исходный файл СПИСОК.TXT остался нормальным не закодированным!!! Это получилось вероятно из-за того, что на данный файл был наложен атрибут "только для чтения". А поскольку вирус при кодировании создавая копии исходных файлов и внося в них изменения на заключительном этапе подменяет исходник копией (это выяснили при попытке найти удаленные файлы, которых не оказалось вообще), то данный атрибут не позволил ему это сделать. Таким образом осталось некоторое количество нетронутых файлов-оригиналов и появились их зашифрованные копии.
Просматривая записи в различных форумах нашел несколько похожих случаев, но на них не было ни одного ответа. С момента последней записи по данной проблеме прошло уже около трех месяцев. Может быть за это время появились какие-то наработки или мысли. Поделитесь инфой, если кто сталкивался с таким случаем. Заранее благодарен всем откликнувшимся.

Уважаемый(ая) [B]dima-stepanov[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Что запускалось перед появлением проблемы? Логи тоже сделайте по правилам.

Здравствуйте. Что запускалось точно сказать не могу постольку много пользователей, и никто пока не говорит о подозрительных письмах на электронку. Плюс ко всему у меня шифрование файлов началось глубокой ночью в 2:00. В это время никаких пользователей или RDP сеансов не было. Читал на форумах, что были случаи когда от момента заражения через почтовое вложение до, непосредственно, самого итога шифрования проходило три дня. Пока просматриваю все почты, чтобы попробовать найти нужное письмо.
Логи, как Вы указали, прикладываю.
Спасибо.

Судя по логам, на сервере хозяйничают ещё с марта.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\WINDOWS\SysWOW64\MTMonitor\tmz.dll','');
QuarantineFile('C:\Documents and Settings\USR1CV81\Local Settings\Application Data\focblik.dll','');
QuarantineFile('C:\WINDOWS\SysWOW64\MTMonitor\tmmt.exe','');
QuarantineFileF('C:\WINDOWS\SysWOW64\MTMonitor', '*', true,'', 0, 0, '', '', '');
QuarantineFile('C:\Recycle.Bin$\S-1-5-18-3-6-34-65\wizard.exe','');
DeleteFile('C:\Recycle.Bin$\S-1-5-18-3-6-34-65\wizard.exe','32');
DeleteFile('C:\Documents and Settings\USR1CV81\Local Settings\Application Data\focblik.dll','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3525092714-1565393411-2929879843-1136\Software\Microsoft\Windows\CurrentVersion\Run','Intel(R)');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3525092714-1565393411-2929879843-1136\Software\Microsoft\Windows\CurrentVersion\Run','focblik');
ExecuteSysClean;
end.[/code]Перезагрузите сервер вручную.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

+ к [B]Vvvyg[/B]
AVZ запущен из терминальной сессии.
Запустите AVZ локально (!) и переделайте лог.

Да, Вы правы. Во второй половине марта была ситуация с шифрованием. Но она очень легко решилась. И плюс к этому на машине было полно TXT-шных файлов от вируса с рекомендациями. Антивирус вроде как все почистил и до недавнего времени проблема эта не всплывала. Сегодня буду делать следующие логи. И выложу их.
Спасибо всем откликнувшимся.

Пароли от RDP смените. Ждем логи

Добрый вечер. Прикладываю логи с консольной сессии. Подозрительные файлы, которые были указаны выше, это нами установленные нужные программы.
Спасибо.

[QUOTE=dima-stepanov;1150180]Подозрительные файлы, которые были указаны выше, это нами установленные нужные программы.[/QUOTE]

Все? И это тоже:[CODE]C:\Recycle.Bin$\S-1-5-18-3-6-34-65\wizard.exe[/CODE]
Скрипт выполнили? Загрузите карантин, сделайте полный образ автозапуска uVS, как я просил, можно из терминальной сессии.

Здравствуйте. Извините за сумбур, который я внес, но я имел ввиду, что программка MTMonito- это нами установленный софт. Единственно что файл focblik.dll-не понятно что за зверь, но Касперский уже его убил, еще днем, а скрипт выполняли вечером после работы, когда пользователей уже нет в системе.
wizard.exe- тоже убит Касперским. И тоже днем. Поэтому, как мне кажется, в карантине их уже не будет.
Как Вы указали, в течение сегодняшнего дня сделаю полный образ.
Спасибо.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Добрый вечер. Логи пока сделать не получилось, но в журнале AVP сегодня увидел новую активность.
Вот эта запись:
Неактивно Счета СФ-14-165261, СФ-14-173621, СФ-14-137284 скан-копии LaserJet HP 1490 июль 2014 года бухгалтерия-СОГЛАСОВАНО_Ок для оплаты_DrWeb_mail_attachment_secure_doс .js
Получается , что у меня до сих пор что-то хозяйничает.
Но вопрос в том: можно ли как-то по этим данным найти у меня на машине ответную часть, чтобы попробовать из нее как-то выудить информацию либо о дате заражения и письме, в котором был исходник, либо контакты "куда деньги нести". Заранее благодарен всем откликнувшимся. Спасибо.

[NOTICE]Уберите ссылку на шифровальщик из сообщения #11[/NOTICE] ([url]http://.[/url]..)
Объясните, как именно организована почта, выход в интернет. Надеюсь, не с сервера в терминальном режиме лазят?

[QUOTE=Vvvyg;1150621][NOTICE]Уберите ссылку на шифровальщик из сообщения #11[/NOTICE] ([url]http://.[/url]..)
Объясните, как именно организована почта, выход в интернет. Надеюсь, не с сервера в терминальном режиме лазят?[/QUOTE]

Добрый день. Сегодня уточнил у нашего системного администратора. Как выяснилось, именно так все и организовано. Выход в интернет с сервера в терминальном режиме.....

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=Vvvyg;1150187]Все? И это тоже:[CODE]C:\Recycle.Bin$\S-1-5-18-3-6-34-65\wizard.exe[/CODE]
Скрипт выполнили? Загрузите карантин, сделайте полный образ автозапуска uVS, как я просил, можно из терминальной сессии.[/QUOTE]

Сегодня попытались сделать образ автозапуска uVS. Выдал ошибку. Принт скрин прикладываю. Спасибо.

C сервера должны запускать только программы типа 1C, браузеры, офисные программы и пр. - только со своих компьютеров. Перед запуском uVS отключите временно антивирус.

[QUOTE=Vvvyg;1150770]C сервера должны запускать только программы типа 1C, браузеры, офисные программы и пр. - только со своих компьютеров. Перед запуском uVS отключите временно антивирус.[/QUOTE]

Та же самая ошибка - что с выключенным антивирусом, что с включенным. Программа запускается, но в процессе стартового сбора информации выдает ошибку.
Спасибо.

Скачайте утилиту [URL=http://oldtimer.geekstogo.com/OTL.exe]OTL by OldTimer[/URL]. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

[B]Scan All Users[/B]
[B]Include 64Bit Scans[/B] - в случае 64-разрядной системы;
Output: [B]Minimal Output[/B];
File Scans: [B]Use Company-Name WhiteList[/B] и [B]Skip Microsoft Files[/B];
[B]Lop Check[/B];
[B]Purity Check[/B].

В окне [B]File Age[/B] установите [B]30 days[/B]
Остальные параметры оставьте по умолчанию.
Скопируйте текст
[CODE]%CommonProgramFiles%\*.*[/CODE]
в окно [B]Custom Scans/Fixes [/B] и нажмите [B][COLOR="#0000CD"]Run Scan[/COLOR][/B].

После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.

[QUOTE=dima-stepanov;1150296]
Добрый вечер. Логи пока сделать не получилось, но в журнале AVP сегодня увидел новую активность.
Вот эта запись:
Неактивно Счета СФ-14-165261, СФ-14-173621, СФ-14-137284 скан-копии LaserJet HP 1490 июль 2014 года бухгалтерия-СОГЛАСОВАНО_Ок для оплаты_DrWeb_mail_attachment_secure_doс .js

Но вопрос в том: можно ли как-то по этим данным найти у меня на машине ответную часть, чтобы попробовать из нее как-то выудить информацию либо о дате заражения и письме, в котором был исходник, либо контакты "куда деньги нести". Заранее благодарен всем откликнувшимся. Спасибо.[/QUOTE]

Во вложении то, что скачивается по ссылке

Ёлки-палки, в 3-й раз ссылка на шифровальщик от Вас... Вы сюда пришли зловреды распространять, что ли?
Всё подозрительное - в карантин грузите, в правилах описано как.

Сорри

Отправил карантин по форме

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=Vvvyg;1150889]Скачайте утилиту [URL=http://oldtimer.geekstogo.com/OTL.exe]OTL by OldTimer[/URL]. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

[B]Scan All Users[/B]
[B]Include 64Bit Scans[/B] - в случае 64-разрядной системы;
Output: [B]Minimal Output[/B];
File Scans: [B]Use Company-Name WhiteList[/B] и [B]Skip Microsoft Files[/B];
[B]Lop Check[/B];
[B]Purity Check[/B].

В окне [B]File Age[/B] установите [B]30 days[/B]
Остальные параметры оставьте по умолчанию.
Скопируйте текст
[CODE]%CommonProgramFiles%\*.*[/CODE]
в окно [B]Custom Scans/Fixes [/B] и нажмите [B][COLOR="#0000CD"]Run Scan[/COLOR][/B].

После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.[/QUOTE]

Сделал как Вы указали. Логи приложил. Спасибо.

Бардак... Нет желания и времени разгребать эти авгиевы конюшни, если честно, это означает сделать полноценный аудит информационной безопасности. У вас сисадмин есть, это его долг и забота. Ограничусь строками в логе, на которые надо обратить внимание:[CODE]IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1152\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
IE - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155\..\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}: "URL" = http://webalta.ru/search?q={searchTerms}&from=IE
O4 - HKU\S-1-5-21-3525092714-1565393411-2929879843-1130..\Run: [C:\Documents and Settings\malukov_a\Мои документы\Downloads\xxx_video.scr] C:\Documents and Settings\malukov_a\Мои документы\Downloads\xxx_video.scr File not found
O4 - HKU\S-1-5-21-3525092714-1565393411-2929879843-1152..\Run: [pagesys] C:\Documents and Settings\sklad2\Мои документы\Загрузки\buh13\wasppacer.exe (WaspAce)
O4 - HKU\S-1-5-21-3525092714-1565393411-2929879843-1155..\Run: [0f7740838836e00a2f572a2cd3468751] iexplore.exe File not found
O4 - Startup: C:\Documents and Settings\Sklad\Главное меню\Программы\Автозагрузка\Ярлык для dgfnbnvfgryty5565ytiyiykjlkyhrfgdgfhtgu5yr.lnk = File not found
O20 - HKU\S-1-5-21-3525092714-1565393411-2929879843-1130 Winlogon: Shell - (C:\Documents and Settings\malukov_a\Мои документы\Downloads\xxx_video.scr) - File not found
[2014.08.17 22:24:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\roman\Application Data\gnupg
[2014.08.14 10:22:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Stahiv_V\Application Data\GetnowUpdater
[2014.03.22 01:35:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Sklad\Application Data\newSI_3
[2014.03.22 01:35:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Sklad\Application Data\newSI_4
[2014.08.18 13:01:48 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Application Data\mtml
[2014.03.22 02:02:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\2562
[2014.03.22 01:35:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\AMMYY[/CODE]
Если есть возможность загрузить сервер в безопасном режиме - дам скрипт для OTL, который это почистит. Там и кейлоггеры должны, кстати, быть.

И общие рекомендации.

Меры против взлома надо принять как организационные, так и технические.

1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.

2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.

2. MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

4. Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.

5. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

Скопируйте всё содержимое страницы [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Я уже не говорю о том, что в домене можно жёстко ограничить пользователей политиками и правами безопасности, чтобы ни установить, ни стереть, ни запустить ничего лишнего не могли. Бэкапы, теневые копии по расписанию - и практически можно не бояться шифровальщиков.