Шифровальщик [email protected]

Здравствуйте. Злоумышленник попал на сервер по RDP и запустил шифровальщик.

при старте пользователя запускается картинка

[ATTACH=CONFIG]610910[/ATTACH]

оригинальный файл в формате [URL="https://yadi.sk/i/ZzdTRyunmva6X"]bmp[/URL]

Зашифрованы файлы в изображений (кроме tiff, png), документы MSOffice, pdf, файлы баз данных (dbf, 1cd, ) архивы zip, rar, arj

[URL="https://yadi.sk/d/Ye6zT-Xmmvdv4"]Пример зашифрованного файла[/URL]

Файл [B] [URL="https://yadi.sk/d/xutRtKzTmvg5L"]virusinfo_syscheck.zip[/URL] получился размером больше 2mb[/B]

Уважаемый(ая) [B]servic[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Вот, вчера приготовил

Попробуйте с помощью программ для восстановления данных типа R-Studio восстановить файл [QUOTE]C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.exe[/QUOTE]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Кстати, поищите упоминания {39B6FD42-8SKE-838D-9875-3YTA2897936Q} в реестре

Вот все что нашел.

файл с id_333413 восстановлен

Пароль к архиву: virus


в реестре только 3 ссылки

2 в recents
1 на автозагрузку того файла про который вы писали

Увы, это не то

Стало быть с расшифровкой не поможем

После обследования системы удалось установить следующее:
1. был отбрутфорсен пароль к RDP и произведен вход от имени Администратора

Службы удаленных рабочих столов: Успешная проверка подлинности пользователя:
Пользователь: Администратор
Домен:
Адрес источника сети: 89.26.253.106

2. Были скачаны и установлены 4 дополнительных пакета Net.Framework
3. Была произведена компиляция какого-то файла, после чего он был запущен
4. Это файл был перехвачен антивирусом ESET Endpoint Antivirus. Версия: 5.0.2126.3 и упрятан в карантин.
5. "Администратор" деинсталлировал антивирь и файл был скомпилирован и запущен заново.

Файлы карантина[URL="https://yadi.sk/d/6VdJibVWnN95p"] прилагаю.[/URL] Пароль - virus

Файл в карантине антивируса шифруется похоже. Восстанавливайте из карантина и присылайте

фу, блин.


У меня два сервера с одними и теми же симптомами...
запутался что откуда...

этот карантин со второго с такой же историей но файлы шифрует как [email][email protected][/email]

файлы из карантина через спец ссылку загружать?


пароль на архив - virus

Нет, не то

таааак.... куды копать?

Это мне неведомо

Файлы из папки Prefetch начинаются на 666.exe помогут?

Нет