Заархивировались данные в архив с паролем. Если есть шансы, оформлю подписку! [Trojan.Win32.Agent.newkpb ]

Система win server 2008 r2. В выходные произошел взлом, видимо по рдп, ибо антивирус microsoft security essentials ругался на подозрительные файлы, которые лежали в папке пользователя (а им только по рдп и заходят). Злоумышленник заархивировал данные архивом winrar (который кстати не установлен) под паролем. Везде текстовые файлы созданы, содержание:

Внимание! Ваши данные заархивированы с паролем, использование их невозможно.
Для получения пароля к архиву от вас требуется оплата 19000р на Bitcoin кошелек (инструкции по оплате вам будут выданы после вашего обращения).
При согласии напишите на почту [email][email protected][/email] , указав в обращении КОД .
Код необходим для выдачи вам вашего персонального пароля от архивов.
Также вам будут даны рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.


КОД 724P#PMkSb#A94y

Пытался подключить "Помогите+", но система оплату по карте не приняла. Видимо paypal когда то подключал, как вспомню пароли - подключу подписку.
[ATTACH]635004[/ATTACH][ATTACH]635005[/ATTACH]

Уважаемый(ая) [B]Нюргун[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
TerminateProcessByName('c:\users\buh\saved games\wa\wa\wahiver.exe');
QuarantineFile('c:\users\buh\saved games\wa\wa\wahiver.exe','');
TerminateProcessByName('C:\Users\stamp.adm\AppData\Local\Temp\21C4F7AE-4EF7C020-E1FB96F0-D7CEBC24\vkFGs5yJ.exe');
QuarantineFile('C:\Users\stamp.adm\AppData\Local\Temp\21C4F7AE-4EF7C020-E1FB96F0-D7CEBC24\vkFGs5yJ.exe','');
TerminateProcessByName('c:\programdata\system64\microsoft.exe');
QuarantineFile('c:\programdata\system64\microsoft.exe','');
TerminateProcessByName('c:\users\stamp.adm\desktop\d3ptwnxx.exe');
QuarantineFile('c:\users\stamp.adm\desktop\d3ptwnxx.exe','');
TerminateProcessByName('C:\ProgramData\system64\cputest.exe');
QuarantineFile('C:\ProgramData\system64\cputest.exe','');
DeleteFile('C:\ProgramData\system64\cputest.exe','32');
DeleteFile('c:\users\stamp.adm\desktop\d3ptwnxx.exe','32');
DeleteFile('c:\programdata\system64\microsoft.exe','32');
DeleteFile('C:\Users\stamp.adm\AppData\Local\Temp\21C4F7AE-4EF7C020-E1FB96F0-D7CEBC24\vkFGs5yJ.exe','32');
DeleteFile('c:\users\buh\saved games\wa\wa\wahiver.exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-253858234-3451580143-4259948266-1006\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft');
RegKeyParamDel('HKEY_USERS','S-1-5-21-253858234-3451580143-4259948266-1006\Software\Microsoft\Windows\CurrentVersion\Run','SysMon');
DeleteFile('C:\1C_bases\unf\1CHelpIndex\sysmon.exe','32');
ExecuteSysClean;
end.

[/CODE]

Перезагрузите сервер. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Перезаливаю повторные логи. Также отправил запрошенный файл карантин, только он весит около 130Мб, вроде бы залил, но не могу увидеть залитый файл. В общем жду :)

И СПАСИБО БОЛЬШОЕ ЗА ПОМОЩЬ!
Если удастся расшифровать архивы (пароли убрать), то надеюсь на дальнейшую консультацию (естественно платную), дабы устранить такие взломы в будущем

Деньги на нормального сисадмина лучше поищите. Больше пользы будет.


[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]

Сожалею, что моих знаний маловато, чтобы сражаться с подобного рода атаками. Но защиту реализовал на максимальном (как позволял бюджет - бесплатность) уровне. Согласно с требованиями начальства о доступе к серверу по инету.

Судя по найденному вредоносному ПО ваш сервер (дедик) довольно давно сбрутили.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]

[code]
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
breg

delall %SystemDrive%\PROGRAMDATA\SYSTEM64\MICROSOFT.EXE
deldir %SystemDrive%\USERS\BUH\SAVED GAMES\WA
deldir %SystemDrive%\PROGRAMDATA\SYSTEM64
delall %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WAHIVER - ЯРЛЫК.LNK
[/code]

Перезагрузите сервер.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list=1][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]

Прикрепляю файлы отчета программы Farbar Recovery Scan Tool. Также в карантин скинул затребованный архив, в котором итоги выполнения скрипта в uVS.

[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

[list=1][*][URL="https://clck.ru/9knjD"][B]Временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
FirewallRules: [TCP Query User{7B834B25-2E7B-47EB-B337-856B56C47FC0}C:\users\buh\saved games\wa\wa\wahiver.exe] => (Block) C:\users\buh\saved games\wa\wa\wahiver.exe
FirewallRules: [UDP Query User{52BB3D16-956C-470C-983E-8412D353E0AB}C:\users\buh\saved games\wa\wa\wahiver.exe] => (Block) C:\users\buh\saved games\wa\wa\wahiver.exe
FirewallRules: [TCP Query User{A52541D8-2631-4D96-84CA-762130BAC595}C:\users\buh\saved games\wa\wa\wasp.exe] => (Block) C:\users\buh\saved games\wa\wa\wasp.exe
FirewallRules: [UDP Query User{0D3279FE-A3BB-4B5B-B912-227D4F516D03}C:\users\buh\saved games\wa\wa\wasp.exe] => (Block) C:\users\buh\saved games\wa\wa\wasp.exe
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*][B][COLOR="Blue"]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [b]upload.zip[/b], то загрузите этот архив через [url=http://virusinfo.info/upload_virus.php?tid=37678]данную форму[/url][/list]

отправляю файл fixlog.txt

Сервер почистили. Пароли на учетках меняйте. Стандартный порт от RDP 3389 меняйте на другой. Стандартные порты от программ удаленного доступа вроде Radmin тоже меняйте (если таковыми пользуйтесь), настройте ограничения на подключения по RDP в пределах локальной сети, или в пределах конкретного диапазона IP адресов. С разархивацией не поможем.

Большое спасибо! Как и обещал, оформлю полную подписку на неделю. Надеюсь больше не буду обращаться. :)) Имею ввиду, с такими проблемами ;)
Жаль, беда с распаковкой, но вопрос решил восстановлением данных с бэкапов.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\system64\microsoft.exe - [B]Trojan.Win32.Agent.newkpb[/B][/LIST][/LIST]