шифровальщик [email protected]

Printable View

28.12.2015, 22:09
paged

Вложений: 2

шифровальщик [email protected]

Здравствуйте!

У нас взломали один из серверов подобрав пароль к одной из админских учеток (недостаточно сложные пароли). Многие файлы были зашифрованы. Теперь каждого файла с известными расширениями по два:
<имяфайла>[email protected]
и
<имяфайла>.

Помимо этого была создана учетная запись Joana, на рабочем столе которой нашел папку GoogleChromePortable с соответствующей программой и внутри еще папкой de, файл svhost.exe выполнялся в тот момент. Содержимое этой папки в зашифрованном [URL="удалено"]архиве[/URL] (пароль virusinfo.info). Когда скачаете, сообщите, чтоб я убрал из общего доступа.
Необходимые вложения приложил. Неизвестную учетку отключил, программу отключил, пароли поменял.

Обратил внимание в логах этого сервера, а также других наших серверов, находящихся в известном немецком датацентре, на активные попытки подобрать логин-пароль классических учеток.

Заранее спасибо огромное за внимание и помощь.

PS: Всем админам - будьте внимательны, не ленитесь использовать сложные пароли, нестандартные порты, и обязательно настраивайте бакапы.
28.12.2015, 22:11
Info_bot

Уважаемый(ая) [B]paged[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
28.12.2015, 22:53
thyrex

Это то, через что Вас сбрутили, а не сам шифровальщик

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
28.12.2015, 23:04
paged

Вложений: 2

забыл сразу приложить
28.12.2015, 23:19
thyrex

По логам сервера можно ведь увидеть, какой файл запускали перед появлением шифрованных файлов
28.12.2015, 23:25
paged

[QUOTE=thyrex;1346194]По логам сервера можно ведь увидеть, какой файл запускали перед появлением шифрованных файлов[/QUOTE]
Вы имеете в виду логи, которые я выложил, или в просмотре событий в администрировании?
28.12.2015, 23:29
thyrex

Просмотр событий или как оно там еще называется.
28.12.2015, 23:57
paged

проанализировал файлы, определил время и дату начала шифрования. посмотрел в логах никакой инфы о запуске в это время неизвестных программ не нашел. если можете, уточните пожалуйста, где конкретно посмотреть в логах про запуск программ?
нужно ли прислать одни и те же файлы шифрованные и незашифрованнные?
есть ли у нас варианты получить дешифратор у вас, а не у бандитов?
29.12.2015, 00:00
thyrex

[quote="paged;1346210"]уточните пожалуйста, где конкретно посмотреть в логах про запуск программ?[/quote]Без понятия, видимо там же, где смотреть все совершаемые после входа действия (уж извините, с логами администрирования серверов дел не имел)

[quote="paged;1346210"]нужно ли прислать одни и те же файлы шифрованные и незашифрованнные?[/quote]
не поможет

[quote="paged;1346210"]есть ли у нас варианты получить дешифратор у вас, а не у бандитов?[/quote]
на данный момент - никаких. Нужно тело вируса, чтобы сказать что-то определенное