Криптор [email protected] зашифровал все документы на сервере [Trojan.Win32.Disabler.pf, Trojan.Win32.Filecoder.ae ]

Windows Server 2003 R2 x64. В терминальной сессии пользователь скачал из интернета исполняемый файл и запустил его. В результате вирус-вымогатель зашифровал все документы, базу 1С и ряд других файлов. Имена зашифрованных файлов выглядят подобно этому:

[email][email protected]@[email protected]@[email protected]@g128SMCinema.exe[/email]

Также, в одной из папок зашифрованные файлы именуются по-другому: "дискетка.exe", "Лена.exe", и т.п. Т.е., сохраняется имя оригинальной папки.

Сервер один раз был перезагружен. После этого проведено сканирование утилитами KVRT и Dr.Web CureIt! с настройками по умолчанию. Никаких вирусов выявлено не было. Затем было проведено сканирование (согласно инструкции) AVZ и Hijackthis. Логи прилагаются.

Прошу помощи в расшифровке файлов.

С уважением,
Александр

Уважаемый(ая) [B]Iskander69[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[quote="Iskander69;1414082"]В терминальной сессии пользователь скачал из интернета исполняемый файл и запустил его[/quote]Файл сохранился или ссылка на его скачивание?

Файл-виновник точно назвать не могу. Вероятнее всего все началось со скачивания портативной версии Firefox. Хотя на virustotal только один сканер нашел троянца, более удачного кандидата я не вижу. Вот ссылка на сам файл: [url]http://my-files.ru/myqyk1[/url]
Учетка коллективная, а пользователи, которые могли бы подключаться через неё, уходят в глухую отказку.

Также, после размещения первого сообщения я провел полное сканирование диска при помощи KVRT, и тот нашел несколько зловредов:
[ATTACH=CONFIG]647089[/ATTACH]

Вот первые 3 найденных объекта нужно прислать в архиве с паролем virus (в имени архива не должно быть символов кириллицы) по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

Карантин прислал!

Нет ли случайно в папке Application Data еще какого-либо bat-файла и файла WindowsUpdate.exe?

Судя по имени одного из присланных файлов пытались скачать скорее всего Microsoft Word. Портативная версия Огнелиса чистая.

Нет, никаких файлов *.bat в папке "Application Data" нет. Но есть другие файлы, не совсем характерные для этой папки. На всякий случай выслал их в архиве по красной ссылке "Прислать запрошенный карантин". Вместе с предыдущим набором файлов это будет _полный_ комплект всех файлов в папке "Application Data".

system.exe - это переименованный Winrar 5
7 (11.2016) - это SFX-архив под паролем (возможно, что после вируса уже, или сам источник бед)

Есть подозрение, что все таки был несанкционированный вход по RDP. Логи сервера посмотрите на предмет подобного
Есть подозрение, что и System Explorer там неспроста появился.

Боюсь, что вы правы. Я просматривал, когда была авторизация соответствующего пользователя. Похоже, что пароль от учетки либо "потеряли" либо подобрали. А учитывая, что RDP был открыт в интернет, пусть и на нестандартном порту, вероятность, что вы правы, близка к единице. Увы!
Я правильно вас понял, что "без вариантов"?

Логи сервера смотрели на предмет запуска каких=то программ после несанкционированного входа (скорее всего в ночное время)? Я, конечно, далек от тонкостей работы серверов, но думаю, что можно что-то подобное найти.

И дополнительно:

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Результат сканирования FRST во вложении.
В отношении запускаемых файлов ничего внятного вычислить не удалось. Windows пишет в журнал запуск установленных приложений, но не всех подряд запускаемых EXE-шников. В интересующий период зафиксирован запуск msinstaller, но что именно устанавливалось не указано. Впрочем в системе появился свежеустановленный браузер Chrome, время установки которого идеально совпадает с запуском msinstaller. Других подозрительных активностей не обнаружено.

SYSTE[B][COLOR="#FF0000"]М[/COLOR][/B] (S-1-5-21-1539124638-2377794508-2604153348-1043 - Administrator - Enabled) работали под этим пользователем (выделенная буква русская). Я думаю, что он Вам неизвестен, а потому смотрите, что происходило под ним

Внимательнейшим образом просмотрел все события, которые зафиксировал сервер. Пользователь SYSTE*М* активности не проявлял. Вероятно, он был зарегистрирован "на будущее". Все подозрительные действия связаны только с пользователем 1c.

Тогда нужно спецпрограммами восстановления удаленных файлов пытаться поискать удаленные bat-файлы в папке Roaming пользователя 1С

Спасибо! Сделаю.

Изучил каждый байтик. Следов bat-файла не нашел. Если других светлых идей нет, то я готов признать, что расшифровать документы не получится. На следующей неделе приступлю к полной переустановке системы.

Увы, похоже злодеи все подчистили за собой.

Что ж, увы! Большое спасибо за помощь! Вопрос считаю закрытым в связи с невозможностью расшифровать документы иначе как методом подбора пароля.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \microsoft_office_word.exe - [B]Trojan.Win32.Disabler.pf[/B][*] \update.exe - [B]Trojan.Win32.Filecoder.ae[/B][*] \windowsdrivers.exe - [B]Trojan.BAT.Agent.aqo[/B][/LIST][/LIST]