Показано с 1 по 18 из 18.

Файлы зашифрованы dyatel@qq_com (заявка № 159125)

  1. #1
    Junior Member Репутация
    Регистрация
    05.05.2014
    Сообщений
    9
    Вес репутации
    14

    Файлы зашифрованы dyatel@qq_com

    Сегодня на сервере под управление винды 2003 обнаружил что файлы зашифрованы данной "припиской" к файлам. Собсно работа в бухгалтерии стоит, потому что зашифрованы все информационные базы и еще некоторые не особо важные файлы. Прикладываю архив с зашифрованным архивом. Пароль на архив "infected".


    отчет 30.04.14.rar
    hijackthis.log
    virusinfo_syscheck.zip

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) oxygenwolf, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    05.05.2014
    Сообщений
    9
    Вес репутации
    14
    Получил точно такое же письмо как и в соседней теме.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,397
    Вес репутации
    1029
    Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#4)
    Логи на сервере делаются не через терминальную сессию. Нужно тело шифровальщика.

    + Сделайте такие логи

    + Пароли меняйте т.к. зашли удаленно через RDP.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  6. #5
    Junior Member Репутация
    Регистрация
    05.05.2014
    Сообщений
    9
    Вес репутации
    14
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Логи на сервере делаются не через терминальную сессию. Нужно тело шифровальщика.

    + Сделайте такие логи

    + Пароли меняйте т.к. зашли удаленно через RDP.
    Хорошо, сегодня приеду на работу и сделаю логи непосредственно оттуда. Пароли на RDP менять только у админской учетки? У пользователей надо?

  7. #6
    Junior Member Репутация
    Регистрация
    05.05.2014
    Сообщений
    9
    Вес репутации
    14
    Прикладываю новые логи АВЗ + СИТлог. Пароль на RDP поменял.

    SITlog.rar
    virusinfo_syscheck.zip

    Да, вы были правы. На сервер зашли по RDP с компьютера организации.. в логах написано "АНОНИМНЫЙ ВХОД"
    123123.jpg
    Последний раз редактировалось oxygenwolf; 05.05.2014 в 16:13.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,397
    Вес репутации
    1029
    Выполните скрипт в AVZ:

    Код:
    Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
    var FS : TFileSearch;
    begin
    ADirName := NormalDir(ADirName);
    FS := TFileSearch.Create(nil);
    FS.FindFirst(ADirName + '*');
    while FS.Found do
      begin
        SetStatusBarText(ADirName + FS.FileName);
        if FS.IsDir then
         begin
           if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
             ScanDir(ADirName + FS.FileName, AScanSubDir)
         end
        else
          AddToLog(ADirName + FS.FileName + '__MD5= ' + CalkFileMD5(ADirName + FS.FileName)+ '__Size= '+ IntToStr(GetFileSize(ADirName + FS.FileName)));
    
        FS.FindNext;
      end;
    FS.Free;
    end;
    
    begin
    ClearLog;
    ScanDir('C:\3', true);
    ScanDir('C:\WINDOWS', true);
    ScanDir('C:\spoolerlogs', true);
    SaveLog(GetAVZDirectory + 'MD5&Size.txt');
    end.
    После выполнения скрипта AVZ будет сформирован отчет MD5&Size.txt. Выложите файл MD5&Size.txt из папки с авз.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  9. #8
    Junior Member Репутация
    Регистрация
    05.05.2014
    Сообщений
    9
    Вес репутации
    14
    Выкладываю MD5. Вложение сделать не получилось, слишком большой файл.

    http://ge.tt/9Jlzwwf1/v/0?c

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,397
    Вес репутации
    1029
    Печально, но сам шифратор уже похоже удален. А без него нельзя расшифровать файлы. Логи в порядке.

    Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  11. #10
    Junior Member Репутация
    Регистрация
    05.05.2014
    Сообщений
    9
    Вес репутации
    14
    Прикрепил. Может как-то можно восстановить удаленные файлы? Может найдется

    VirusDetector.txt

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,397
    Вес репутации
    1029
    Может как-то можно восстановить удаленные файлы?
    Может и можно. Попробуйте воспользоваться программой R Studio.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  13. #12
    Junior Member Репутация
    Регистрация
    05.05.2014
    Сообщений
    9
    Вес репутации
    14
    Уже начал потрошить хард этой софтиной. Какой примерно вид может иметь этот файл?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,397
    Вес репутации
    1029
    Цитата Сообщение от oxygenwolf Посмотреть сообщение
    Уже начал потрошить хард этой софтиной. Какой примерно вид может иметь этот файл?
    Предположительно нужно искать файлы с расширением bat и exe
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  15. #14
    Junior Member Репутация
    Регистрация
    05.05.2014
    Сообщений
    9
    Вес репутации
    14
    Хорошо. А по анализу как я понял все нормально?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,397
    Вес репутации
    1029
    Отчеты в порядке.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  17. #16
    Junior Member Репутация
    Регистрация
    05.05.2014
    Сообщений
    9
    Вес репутации
    14
    Никаких подозрительных файлов не было обнаружено....

    Как я понимаю шансов вообще нет?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,397
    Вес репутации
    1029
    Шансов очень мало. Можно попробовать следующее:

    Возможно на этом компьютере вообще нет самого шифратора и его временно перенесли с другой взломанной машины. Предлагаю попробовать снять с каждого компьютера лог UVS. Возможно таким образом удастся что нибудь найти.

    Инструкция по сбору лога UVS ниже.

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

    Подробнее читайте в руководстве как подготовить лог UVS
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,691
    Вес репутации
    3028
    RakhniDecryptor 1.5.5.0: http://support.kaspersky.ru/10556 уже должен помочь
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Ответов: 18
    Последнее сообщение: 20.01.2015, 12:55
  2. Зашифрованны файлы dyatel@qq_com
    От zharich в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 25.05.2014, 05:42
  3. Ответов: 23
    Последнее сообщение: 24.05.2014, 00:52
  4. Зашифрованы файлы. dyatel@qq_com
    От teplokom в разделе Помогите!
    Ответов: 16
    Последнее сообщение: 21.05.2014, 03:53
  5. Ответов: 4
    Последнее сообщение: 11.03.2014, 17:40

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01421 seconds with 17 queries