Помогите обезвредить сервер после вируса шифровщика
Организация с 10 компьютерами и 2-мя серверами просила помочь в защите от вирусов.
Год назад поймали вирус с шифрованием, на сервере были зашифрованы файлы от 1С 7.7. заплатили, после чего расшифровали данные.
Неделю назад поймали другую разновидность шифровальщика, кроме всего прочего были зашифрованы базы SQL от 1С 8 и резервные копии на другом сервере. Шифровальщик работал на двух серверах, логи были почищены, службы SQL остановлены, заплатили и все расшифровали.
После всего этого позвали меня. Утилиты антивируса касперского в безопасном режиме и с загрузочного диска нашли вирус Trojan-Ransom.Win32.Xorist.lk, судя по дате создания файлов, это остатки первого шифровальщика. Каперский на Утилиту расшифровки первого шифровальщика, тоже так же ругается.
Антивируса на серверах не было, только на рабочих станциях.
Если с первым шифровщиком все понятно, работали в терминале, получили почту и вирус прошел на серер,
то рождается несколько вопросов про второй вирус:
1. По словам админа теперь все работали локально, а вирус прошел на сервера.
2. Как шифровщик мог попасть сразу на два сервера, на которых, судя по датам создания шифрованных файлов, вирус сработал в субботу ночью и проработал часов 8-9 все зашифровав.
3. Как найти и убить эту заразу ?
4. Слишком много натворил вирус, и журналы почистил и службы остановил, все таки как убедиться, что это вирус, а не дело рук удаленного мошенника/инсайдера, который получил административный доступ.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) asz2000, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Да RDP был открыт пароль админа, был не очень сложный. Но Я хочу понять действия злоумышлеников.
Т.е. по Вашему единовременное воздействие на обои сервера в выходные указывает на однозначное удаленное управление этим процессом?
Т.е. вирус в сервера не проникал, были просканированы порты, узнали что RDP открыт, подобрали пароль. Или все-таки вирус прошел, открыл какой-то бэкдор, а затем получили удаленный доступ.
Логи avz не показывают признаки наличие вируса ?
Логи avz могут показать наличие бэкдора ?