Упустили момент, судя по всему кто-то по ночам удаленно подключался к серверу 1C на Win Server 2008 R2 x64 (так же на нем крутится старенький Comtec For Business). Очнулись, когда все файлы баз данных MSSQL 2008 R2 и старенького ASA9 (не считая папок общего доступа на другом сервере), были помещены в .rar архивы с паролями. В корнях папок созданы текстовые файлы следующего содержания:
"
Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно.
Для получения пароля к архиву от вас требуется оплата 13000р на Яндекс деньги.
Далее все встало, BruteForce в условиях аппаратных возможностей нашей организации естественно невозможен, логи во вложениях (я так понял, что для серверных ОС необходимо 2 лога?) и ссылка на яндекс диск с самым маленьким архивом (другие ~5GB): http://yadi.sk/d/Js1U5OKzRJF5B. Помогите, пожалуйста, чем сможете.
P.S.
На сервере (входит в домен) была создана локальная учетная запись, которую мы не создавали. В папке рабочего стола созданы несколько папок с разнообразными программами-помощниками в этом черном деле (если надо приведу скрины, списки) типа VNC scanner, File shredder и т.д.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) BadTeddy, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
QuarantineFile('C:\Users\odmin.VOZRTD\WINDOWS\svchost.com','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Service');
DeleteFile('C:\Users\odmin.VOZRTD\WINDOWS\svchost.com','32');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExitAVZ;
end.
Программа закроется, в папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
По возврату баз. Брутфорс пароля RAR более-менее приличной длины (более 7-8 символов, обычно вымогатели-шифровальщики используют 10-15 минимум) нереален. "Сисадмины делятся на тех, кто не делает бэкапы и тех кто уже делает." (С) народная сисадминская мудрость. Если резервных копий не делалось - оштрафуйте себя на 13 тыр., выкупите пароль за свои деньги По-хорошему надо обращаться в полицию, тем более, что требуют перечислить на Я.Д, это российская юрисдикция, можно и отследить, и заблокировать счёт. Но быстро и без санкции суда у нас только сайты блокируют, так что надежды на юридически правильный путь решения проблемы не очень много. Попробуйте написать в поддержку Яндекс.Деньги - возможно, войдут в положение.
Если включено восстановление системы и есть точки восстановления до шифрования - можно поискать на вкладках "Предыдущие версии" в свойствах папок, но пройдёт, если только вымогатель идиот, и, орудуя на сервере, не удалил точки восстановления. Программы восстановления стёртых файлов иногда помогают, но с учётом того, что использовали File shredder - это, наверняка, не Ваш вариант.
Меры против последующего взлома надо принять как организационные, так и технические.
1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.
2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.
2. Различные SQL серверы - также менять пароли, проверять, последняя ли версия установлена. Взлом через дыры SQL-сервера - классика жанра.
3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
4. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.