Printable View
Добрый день. Сегодня неожиданно обнаружили шифровальщика. Все файлы с расширением - [email][email protected][/email]
Нашли файл к текстом "Для расшифровки пишите: [email][email protected][/email] Укажите ПИН: 65"
Спасите нас пожалуйста, у нас там данные Благотворительного фонда - [url]www.bfbd.ru[/url]
Уважаемый(ая) [B][email protected][/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
вирус - trojan.downloader.10.20280
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Направляю
Логи сервера на предмет постороннего входа по RDP вчера вечером уже изучили?
Была взломана учетка. Я не системный администратор. Ему вставили сегодня и он ушел с работы. Если подскажите как сделать - то я Вам дам информацию.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Можем для образца предоставить начальный файл и зашифрованный
Боюсь, что без тела шифратора что-то определенное сказать трудно.
По поводу просмотра логов сервера попросил коллег посмотреть. Но это будет часа через 2-3
мы ждем. Спасибо
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\DSite" /F', 0, 15000, true);
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('c:\Program Files (x86)\7-Zip\7z.exe', ' a -t7z -mx9 -m0=ppmd:o=32:mem=768m events.7z *.evtx', 0, 200000, false);
end.[/code]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его на доступное облачное хранилище или файлообменник и дайте ссылку в теме.
архив не создается, происходит автоматическое завершение работы
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[url]https://yadi.sk/d/LBaMeMHO3JM3pz[/url]
изменения только в этой папке происходит
Странно. А файлы system.evtx, Security.evtx, Application.evtx не создались в папке с AVZ? Покажите скрин с логом выполнения скрипта в AVZ.
И вообще, скрипт из сообщения #10 точно выполняли?
Делали, как указано по ссылке. Однако по завершению работы - осуществляется выключение работы ПК
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
направляю
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.0.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
delref %SystemDrive%\USERS\OPERAT~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec wevtutil.exe epl Security Security.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
В папке с UVS появится архив [B]Events.7z[/B], загрузите его в облако и дайте ссылку в теме.
[url]https://yadi.sk/d/2RUln0RL3JRad8[/url]
[QUOTE]Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 18.05.2017 17:28:19
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
Компьютер: ServerSK
Описание:
Файл журнала Application очищен.
Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 18.05.2017 17:28:19
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
Компьютер: ServerSK
Описание:
Файл журнала Doctor Web очищен.
Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 18.05.2017 17:28:19
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
Компьютер: ServerSK
Описание:
Файл журнала Application очищен.
Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 18.05.2017 17:28:19
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
Компьютер: ServerSK
Описание:
Файл журнала System очищен.[/QUOTE]
Полагаю, непосредственно перед этим злоумышленник проник в систему и зашифровал данные, а затем подчистил следы.
Попытки входа через терминальный доступ фиксируются в журнале безопасности каждые несколько секунд, новый взлом - лишь дело времени.
В общем - ищите нормального сисадмина, если коротко, всё печально...