шифровальщик [email protected]

Добрый вечер,коллеги ! Очень нужна ваша помощь.

Сегодня утром поймали шифровальщик на Терминальном сервере ([EMAIL="[email protected]). Восстановил сервер из бекапа на вчерашний день,все файлы вроде целы. Теперь не могу понять что это именно за шифровальщик и как он попал.(у всех зашифрованных файлов разные владельцы ?)

После восстановления из бекапа проверил Cureit, нашёл JS.Downloader.1786 - файл upload.js ( в temp папке одного юзера)

Можно по логам сказать остался ли троян ? откуда он попал и от какого пользователя ?

Спасибо за Ваш труд !

Уважаемый(ая) [B]igor.pyatnov[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]



[QUOTE=igor.pyatnov;1416498]

После восстановления из бекапа проверил Cureit, нашёл JS.Downloader.1786 - файл upload.js ( в temp папке одного юзера)

Можно по логам сказать остался ли троян ?
откуда он попал и от какого пользователя ?

Спасибо за Ваш труд ![/QUOTE]
Обычно приходит почтой, проверьте почту пользователя в папке которого нашли шифровальщик.

Также заархивируйте [B]upload.js[/B] в zip и загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы если он у Вас остался еще, только [B]не в коем случае[/B] не запускаете его.

Карантин загрузил.

Отчёты тоже.

Что интересно - дата изменения этого файла upload.js - 15.07.2016.

Или это ни о чём не говорит ?

update.js - [B]JS.DownLoader.1786 (DrWeb)[/B]


[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
File: C:\ProgramData\Microsoft\drm\smss.exe
Zip: C:\ProgramData\Microsoft\drm\smss.exe
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
2016-11-29 04:14 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\README.txt
2016-11-29 04:14 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\Downloads\README.txt
2016-11-29 04:14 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\Documents\README.txt
2016-11-29 04:14 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\Desktop\README.txt
2016-11-29 04:14 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-11-29 04:12 - 2016-11-29 04:12 - 00000147 _____ C:\Users\диспетчер\AppData\Roaming\README.txt
2016-11-29 04:12 - 2016-11-29 04:12 - 00000147 _____ C:\Users\диспетчер\AppData\README.txt
2016-11-29 04:10 - 2016-11-29 04:10 - 00000147 _____ C:\Users\диспетчер\AppData\LocalLow\README.txt
2016-11-29 03:52 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\AppData\Local\README.txt
2016-11-29 03:52 - 2016-11-29 03:52 - 00000147 _____ C:\Users\диспетчер\AppData\Local\Apps\README.txt
2016-11-29 03:51 - 2016-11-29 03:51 - 00000147 _____ C:\Users\Public\README.txt
2016-11-29 03:51 - 2016-11-29 03:51 - 00000147 _____ C:\Users\Public\Downloads\README.txt
2016-11-29 02:58 - 2016-11-29 03:52 - 00000147 _____ C:\Users\Все пользователи\README.txt
2016-11-29 02:58 - 2016-11-29 03:52 - 00000147 _____ C:\Users\Public\Documents\README.txt
2016-11-29 02:58 - 2016-11-29 03:52 - 00000147 _____ C:\ProgramData\README.txt
Folder: C:\ProgramData\Docprint_settings
2016-11-29 02:58 - 2016-11-29 03:52 - 0000147 _____ () C:\ProgramData\README.txt
C:\Users\bitadmin.BACKUP-0\AppData\Local\Temp\ose00000.exe
C:\Users\bitadmin.BITS\AppData\Local\Temp\AcDeltree.exe
C:\Users\bitadmin.BITS\AppData\Local\Temp\FNP_ACT_InstallerCA.dll
C:\Users\i.pyatnov\AppData\Local\Temp\BluestacksUninstaller.exe
C:\Users\i.pyatnov\AppData\Local\Temp\HD-LibraryHandler.dll
C:\Users\i.pyatnov\AppData\Local\Temp\HD-Logger-Native.dll
C:\Users\i.pyatnov\AppData\Local\Temp\PROCEXP64.exe
C:\Users\Жемчугова\AppData\Local\Temp\downloader.exe
C:\Users\Ивашов\AppData\Local\Temp\downloader.exe
C:\Users\Цветков\AppData\Local\Temp\AcDeltree.exe
C:\Users\Цветков\AppData\Local\Temp\downloader.exe
C:\Users\Цветков\AppData\Local\Temp\jna2692654968414537466.dll
C:\Users\Цветков\AppData\Local\Temp\jna6301543396980897070.dll
C:\Users\Цветков\AppData\Local\Temp\Setup-punto.exe
C:\Users\Цветков\AppData\Local\Temp\yupdate-exec-punto.exe
Task: {0CBDE762-F0BC-4A72-9CC3-C0BF9889E75E} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
Task: {CA326798-3E1C-4DAD-8DFB-E41F9D850AE7} - \Adobe Reader -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:72CCCD14 [234]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:72CCCD14 [234]
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что сервер возможно будет [b]перезагружен[/b].[/LIST]

Файл [B]Upload.zip[/B] (или в некоторых случаях [B]<дата>_<время>.zip[/B]) с рабочего стола загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

Вечером только смогу после работы запустить.

Upload.zip с рабочего стола - это тот самый upload.js,которые я вам отправил.

Так что можно сказать ? Где сам шифровальщик ?

[QUOTE=igor.pyatnov;1416870]Вечером только смогу после работы запустить.

Upload.zip с рабочего стола - это тот самый upload.js,которые я вам отправил.

Так что можно сказать ? Где сам шифровальщик ?[/QUOTE]

Получается после выполнения фикса, должен образоваться новый файл с карантином.

Отправил запрос на проверку, смогу сказать точно, когда получу ответ от антивирусного вендора.
Так по первым признакам похож но могу ошибаться. Даже сайт на который идет обращение, помечен как вредоносный.

Также пробуйте проверить следующий файл (например на [URL="https://virustotal.com"]virustotal.com[/URL]), похоже на шифровальщика:
[CODE]C:\ProgramData\Microsoft\drm\smss.exe[/CODE]

Имя файла: smss.exe
Показатель выявления: 6 / 55

ESET-NOD32 Win32/ServiceEx.A potentially unsafe 20161201
K7AntiVirus Unwanted-Program ( 004efe661 ) 20161201
K7GW Unwanted-Program ( 004efe661 ) 20161201
McAfee Artemis!E49786F0BDD8 20161201
McAfee-GW-Edition Artemis 20161201
Rising PUA.ServiceEx!8.4888-uxw1Nqrf8BP (cloud) 20161201

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[url]https://www.microsoft.com/en-us/security/portal/threat/encyclopedia/Entry.aspx?Name=TrojanDownloader:JS/Swabfex.A[/url]

Здесь Microsoft описывает его как скачиватель шифровальщика,но вопрос в том где сам шифровальщик,которые он скачивает ?

В логах не нашел, возможно антивирусное ПО удалило. В связи с новыми данными поправил скрипт фикса, предыдущий уже не выполняйте.

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CreateRestorePoint:
File: C:\ProgramData\Microsoft\drm\smss.exe
Folder: C:\ProgramData\Microsoft\drm
Zip: C:\ProgramData\Microsoft\drm\smss.exe
S2 WindowsDefender; C:\ProgramData\Microsoft\drm\smss.exe [57344 2015-06-14] (ServiceEx) [File not signed]
C:\ProgramData\Microsoft\drm\smss.exe
2016-11-29 16:34 - 2016-07-14 15:03 - 00000157 _____ C:\Users\i.pyatnov\Desktop\update.js
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
2016-11-29 04:14 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\README.txt
2016-11-29 04:14 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\Downloads\README.txt
2016-11-29 04:14 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\Documents\README.txt
2016-11-29 04:14 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\Desktop\README.txt
2016-11-29 04:14 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-11-29 04:12 - 2016-11-29 04:12 - 00000147 _____ C:\Users\диспетчер\AppData\Roaming\README.txt
2016-11-29 04:12 - 2016-11-29 04:12 - 00000147 _____ C:\Users\диспетчер\AppData\README.txt
2016-11-29 04:10 - 2016-11-29 04:10 - 00000147 _____ C:\Users\диспетчер\AppData\LocalLow\README.txt
2016-11-29 03:52 - 2016-11-29 04:14 - 00000147 _____ C:\Users\диспетчер\AppData\Local\README.txt
2016-11-29 03:52 - 2016-11-29 03:52 - 00000147 _____ C:\Users\диспетчер\AppData\Local\Apps\README.txt
2016-11-29 03:51 - 2016-11-29 03:51 - 00000147 _____ C:\Users\Public\README.txt
2016-11-29 03:51 - 2016-11-29 03:51 - 00000147 _____ C:\Users\Public\Downloads\README.txt
2016-11-29 02:58 - 2016-11-29 03:52 - 00000147 _____ C:\Users\Все пользователи\README.txt
2016-11-29 02:58 - 2016-11-29 03:52 - 00000147 _____ C:\Users\Public\Documents\README.txt
2016-11-29 02:58 - 2016-11-29 03:52 - 00000147 _____ C:\ProgramData\README.txt
Folder: C:\ProgramData\Docprint_settings
2016-11-29 02:58 - 2016-11-29 03:52 - 0000147 _____ () C:\ProgramData\README.txt
C:\Users\bitadmin.BACKUP-0\AppData\Local\Temp\ose00000.exe
C:\Users\bitadmin.BITS\AppData\Local\Temp\AcDeltree.exe
C:\Users\bitadmin.BITS\AppData\Local\Temp\FNP_ACT_InstallerCA.dll
C:\Users\i.pyatnov\AppData\Local\Temp\BluestacksUninstaller.exe
C:\Users\i.pyatnov\AppData\Local\Temp\HD-LibraryHandler.dll
C:\Users\i.pyatnov\AppData\Local\Temp\HD-Logger-Native.dll
C:\Users\i.pyatnov\AppData\Local\Temp\PROCEXP64.exe
C:\Users\Жемчугова\AppData\Local\Temp\downloader.exe
C:\Users\Ивашов\AppData\Local\Temp\downloader.exe
C:\Users\Цветков\AppData\Local\Temp\AcDeltree.exe
C:\Users\Цветков\AppData\Local\Temp\downloader.exe
C:\Users\Цветков\AppData\Local\Temp\jna2692654968414537466.dll
C:\Users\Цветков\AppData\Local\Temp\jna6301543396980897070.dll
C:\Users\Цветков\AppData\Local\Temp\Setup-punto.exe
C:\Users\Цветков\AppData\Local\Temp\yupdate-exec-punto.exe
Task: {0CBDE762-F0BC-4A72-9CC3-C0BF9889E75E} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
Task: {CA326798-3E1C-4DAD-8DFB-E41F9D850AE7} - \Adobe Reader -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:72CCCD14 [234]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:72CCCD14 [234]
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что сервер возможно будет [b]перезагружен[/b].[/LIST]

А каким образом тогда файлы зашифровались ?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Это были логи с "заражённого" сервера,можно теперь посмотреть логи восстановленного,не осталось ли там чего ?

[QUOTE=igor.pyatnov;1416908]А каким образом тогда файлы зашифровались ?
[/QUOTE]
Обычно это запуск вредоносного ПО с почты или взлом сервера.

Отладчик процессов Вам знаком (как вариант для сброса пароля администратора)?
[CODE]IFEO\Utilman.exe: [Debugger] C:\Windows\system32\cmd.exe[/CODE]

А так только ссылки на несуществующие объекты.
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-3735870408-1644757575-3297274103-1129_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-3735870408-1644757575-3297274103-1129_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => No File
CustomCLSID: HKU\S-1-5-21-3735870408-1644757575-3297274103-1129_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-3735870408-1644757575-3297274103-1129_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\ru-RU\acadficn.dll => No File
CustomCLSID: HKU\S-1-5-21-3735870408-1644757575-3297274103-1153_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-3735870408-1644757575-3297274103-1153_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => No File
CustomCLSID: HKU\S-1-5-21-3735870408-1644757575-3297274103-1153_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-3735870408-1644757575-3297274103-1153_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\ru-RU\acadficn.dll => No File
CustomCLSID: HKU\S-1-5-21-3735870408-1644757575-3297274103-4163_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\a.cigankova\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
Task: {0CBDE762-F0BC-4A72-9CC3-C0BF9889E75E} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
Task: {CA326798-3E1C-4DAD-8DFB-E41F9D850AE7} - \Adobe Reader -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:72CCCD14 [234]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:72CCCD14 [234]
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

[QUOTE]Отладчик процессов Вам знаком (как вариант для сброса пароля администратора)?[/QUOTE]

Да знаком.

Жаль конечно,хотелось бы найти тело трояна,и виновника :)

Ну а так хоть убедился что чисто сейчас всё.

Ещё раз спасибо огромное за ваш труд !

[QUOTE=igor.pyatnov;1417127]
Жаль конечно,хотелось бы найти тело трояна,и виновника :)[/QUOTE]
Спросите пользователя что за письмо (например угрожающего типа) он открывал.

[QUOTE=igor.pyatnov;1417127]
Ну а так хоть убедился что чисто сейчас всё.
[/QUOTE]
В предоставленных последних логов ничего плохого не заметил

Также как вариант можете попробовать запретить в локальной групповой политике запуск файлов следующих популярных масок *.js, *.exe, *.tmp для того чтобы минимально обезопаситься от популярных видов шифровальщиков, при этом разрешить запуск только тех программ которым Вы доверяете.

Да,щас пользователь признается :)


Спасибо Вам огромное ещё раз !

Надеюсь наша помощь Вам более не потребуется (в хорошем смысле). Удачи Вам!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]