-
Junior Member
- Вес репутации
- 37
Файлы зашифрованы dyatel@qq_com
Сегодня на сервере под управление винды 2003 обнаружил что файлы зашифрованы данной "припиской" к файлам. Собсно работа в бухгалтерии стоит, потому что зашифрованы все информационные базы и еще некоторые не особо важные файлы. Прикладываю архив с зашифрованным архивом. Пароль на архив "infected".
отчет 30.04.14.rar
hijackthis.log
virusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) oxygenwolf, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 37
Получил точно такое же письмо как и в соседней теме.
-
Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#4)
Логи на сервере делаются не через терминальную сессию. Нужно тело шифровальщика.
+ Сделайте такие логи
+ Пароли меняйте т.к. зашли удаленно через RDP.
-
-
Junior Member
- Вес репутации
- 37
Сообщение от
mike 1
Логи на сервере делаются не через терминальную сессию. Нужно тело шифровальщика.
+ Сделайте такие
логи
+ Пароли меняйте т.к. зашли удаленно через RDP.
Хорошо, сегодня приеду на работу и сделаю логи непосредственно оттуда. Пароли на RDP менять только у админской учетки? У пользователей надо?
-
Junior Member
- Вес репутации
- 37
Прикладываю новые логи АВЗ + СИТлог. Пароль на RDP поменял.
SITlog.rar
virusinfo_syscheck.zip
Да, вы были правы. На сервер зашли по RDP с компьютера организации.. в логах написано "АНОНИМНЫЙ ВХОД"
123123.jpg
Последний раз редактировалось oxygenwolf; 05.05.2014 в 17:13.
-
Выполните скрипт в AVZ:
Код:
Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
var FS : TFileSearch;
begin
ADirName := NormalDir(ADirName);
FS := TFileSearch.Create(nil);
FS.FindFirst(ADirName + '*');
while FS.Found do
begin
SetStatusBarText(ADirName + FS.FileName);
if FS.IsDir then
begin
if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
ScanDir(ADirName + FS.FileName, AScanSubDir)
end
else
AddToLog(ADirName + FS.FileName + '__MD5= ' + CalkFileMD5(ADirName + FS.FileName)+ '__Size= '+ IntToStr(GetFileSize(ADirName + FS.FileName)));
FS.FindNext;
end;
FS.Free;
end;
begin
ClearLog;
ScanDir('C:\3', true);
ScanDir('C:\WINDOWS', true);
ScanDir('C:\spoolerlogs', true);
SaveLog(GetAVZDirectory + 'MD5&Size.txt');
end.
После выполнения скрипта AVZ будет сформирован отчет MD5&Size.txt. Выложите файл MD5&Size.txt из папки с авз.
-
-
Junior Member
- Вес репутации
- 37
Выкладываю MD5. Вложение сделать не получилось, слишком большой файл.
http://ge.tt/9Jlzwwf1/v/0?c
-
Печально, но сам шифратор уже похоже удален. А без него нельзя расшифровать файлы. Логи в порядке.
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.
-
-
Junior Member
- Вес репутации
- 37
Прикрепил. Может как-то можно восстановить удаленные файлы? Может найдется
VirusDetector.txt
-
Может как-то можно восстановить удаленные файлы?
Может и можно. Попробуйте воспользоваться программой R Studio.
-
-
Junior Member
- Вес репутации
- 37
Уже начал потрошить хард этой софтиной. Какой примерно вид может иметь этот файл?
-
Сообщение от
oxygenwolf
Уже начал потрошить хард этой софтиной. Какой примерно вид может иметь этот файл?
Предположительно нужно искать файлы с расширением bat и exe
-
-
Junior Member
- Вес репутации
- 37
Хорошо. А по анализу как я понял все нормально?
-
-
-
Junior Member
- Вес репутации
- 37
Никаких подозрительных файлов не было обнаружено....
Как я понимаю шансов вообще нет?
-
Шансов очень мало. Можно попробовать следующее:
Возможно на этом компьютере вообще нет самого шифратора и его временно перенесли с другой взломанной машины. Предлагаю попробовать снять с каждого компьютера лог UVS. Возможно таким образом удастся что нибудь найти.
Инструкция по сбору лога UVS ниже.
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве как подготовить лог UVS
-
-
RakhniDecryptor 1.5.5.0: http://support.kaspersky.ru/10556 уже должен помочь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-