Криптор [email protected] зашифровал все документы на сервере [Trojan.Win32.Disabler.pf, Trojan.Win32.Filecoder.ae
]
Windows Server 2003 R2 x64. В терминальной сессии пользователь скачал из интернета исполняемый файл и запустил его. В результате вирус-вымогатель зашифровал все документы, базу 1С и ряд других файлов. Имена зашифрованных файлов выглядят подобно этому:
Также, в одной из папок зашифрованные файлы именуются по-другому: "дискетка.exe", "Лена.exe", и т.п. Т.е., сохраняется имя оригинальной папки.
Сервер один раз был перезагружен. После этого проведено сканирование утилитами KVRT и Dr.Web CureIt! с настройками по умолчанию. Никаких вирусов выявлено не было. Затем было проведено сканирование (согласно инструкции) AVZ и Hijackthis. Логи прилагаются.
Прошу помощи в расшифровке файлов.
С уважением,
Александр
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Iskander69, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Файл-виновник точно назвать не могу. Вероятнее всего все началось со скачивания портативной версии Firefox. Хотя на virustotal только один сканер нашел троянца, более удачного кандидата я не вижу. Вот ссылка на сам файл: http://my-files.ru/myqyk1
Учетка коллективная, а пользователи, которые могли бы подключаться через неё, уходят в глухую отказку.
Также, после размещения первого сообщения я провел полное сканирование диска при помощи KVRT, и тот нашел несколько зловредов: KVRT.png
Вот первые 3 найденных объекта нужно прислать в архиве с паролем virus (в имени архива не должно быть символов кириллицы) по красной ссылке Прислать запрошенный карантиннад первым сообщением темы.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Нет, никаких файлов *.bat в папке "Application Data" нет. Но есть другие файлы, не совсем характерные для этой папки. На всякий случай выслал их в архиве по красной ссылке "Прислать запрошенный карантин". Вместе с предыдущим набором файлов это будет _полный_ комплект всех файлов в папке "Application Data".
system.exe - это переименованный Winrar 5
7 (11.2016) - это SFX-архив под паролем (возможно, что после вируса уже, или сам источник бед)
Есть подозрение, что все таки был несанкционированный вход по RDP. Логи сервера посмотрите на предмет подобного
Есть подозрение, что и System Explorer там неспроста появился.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Боюсь, что вы правы. Я просматривал, когда была авторизация соответствующего пользователя. Похоже, что пароль от учетки либо "потеряли" либо подобрали. А учитывая, что RDP был открыт в интернет, пусть и на нестандартном порту, вероятность, что вы правы, близка к единице. Увы!
Я правильно вас понял, что "без вариантов"?
Логи сервера смотрели на предмет запуска каких=то программ после несанкционированного входа (скорее всего в ночное время)? Я, конечно, далек от тонкостей работы серверов, но думаю, что можно что-то подобное найти.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Результат сканирования FRST во вложении.
В отношении запускаемых файлов ничего внятного вычислить не удалось. Windows пишет в журнал запуск установленных приложений, но не всех подряд запускаемых EXE-шников. В интересующий период зафиксирован запуск msinstaller, но что именно устанавливалось не указано. Впрочем в системе появился свежеустановленный браузер Chrome, время установки которого идеально совпадает с запуском msinstaller. Других подозрительных активностей не обнаружено.
SYSTEМ (S-1-5-21-1539124638-2377794508-2604153348-1043 - Administrator - Enabled) работали под этим пользователем (выделенная буква русская). Я думаю, что он Вам неизвестен, а потому смотрите, что происходило под ним
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Внимательнейшим образом просмотрел все события, которые зафиксировал сервер. Пользователь SYSTE*М* активности не проявлял. Вероятно, он был зарегистрирован "на будущее". Все подозрительные действия связаны только с пользователем 1c.
Изучил каждый байтик. Следов bat-файла не нашел. Если других светлых идей нет, то я готов признать, что расшифровать документы не получится. На следующей неделе приступлю к полной переустановке системы.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от Iskander69
и сохраните на Рабочем столе.
