Показано с 1 по 3 из 3.

Базы данных в ZIP архивах с паролями (заявка № 160249)

  1. #1
    Junior Member Репутация
    Регистрация
    26.05.2014
    Сообщений
    1
    Вес репутации
    36

    Базы данных в ZIP архивах с паролями

    Упустили момент, судя по всему кто-то по ночам удаленно подключался к серверу 1C на Win Server 2008 R2 x64 (так же на нем крутится старенький Comtec For Business). Очнулись, когда все файлы баз данных MSSQL 2008 R2 и старенького ASA9 (не считая папок общего доступа на другом сервере), были помещены в .rar архивы с паролями. В корнях папок созданы текстовые файлы следующего содержания:
    "
    Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно.
    Для получения пароля к архиву от вас требуется оплата 13000р на Яндекс деньги.


    При согласии напишите на почту [email protected]

    ".

    Далее все встало, BruteForce в условиях аппаратных возможностей нашей организации естественно невозможен, логи во вложениях (я так понял, что для серверных ОС необходимо 2 лога?) и ссылка на яндекс диск с самым маленьким архивом (другие ~5GB): http://yadi.sk/d/Js1U5OKzRJF5B. Помогите, пожалуйста, чем сможете.

    P.S.
    На сервере (входит в домен) была создана локальная учетная запись, которую мы не создавали. В папке рабочего стола созданы несколько папок с разнообразными программами-помощниками в этом черном деле (если надо приведу скрины, списки) типа VNC scanner, File shredder и т.д.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) BadTeddy, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\Users\odmin.VOZRTD\WINDOWS\svchost.com','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Service');
     DeleteFile('C:\Users\odmin.VOZRTD\WINDOWS\svchost.com','32');
    ExecuteSysClean;
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    ExitAVZ;
    end.
    Программа закроется, в папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

    По возврату баз. Брутфорс пароля RAR более-менее приличной длины (более 7-8 символов, обычно вымогатели-шифровальщики используют 10-15 минимум) нереален. "Сисадмины делятся на тех, кто не делает бэкапы и тех кто уже делает." (С) народная сисадминская мудрость. Если резервных копий не делалось - оштрафуйте себя на 13 тыр., выкупите пароль за свои деньги По-хорошему надо обращаться в полицию, тем более, что требуют перечислить на Я.Д, это российская юрисдикция, можно и отследить, и заблокировать счёт. Но быстро и без санкции суда у нас только сайты блокируют, так что надежды на юридически правильный путь решения проблемы не очень много. Попробуйте написать в поддержку Яндекс.Деньги - возможно, войдут в положение.

    Если включено восстановление системы и есть точки восстановления до шифрования - можно поискать на вкладках "Предыдущие версии" в свойствах папок, но пройдёт, если только вымогатель идиот, и, орудуя на сервере, не удалил точки восстановления. Программы восстановления стёртых файлов иногда помогают, но с учётом того, что использовали File shredder - это, наверняка, не Ваш вариант.

    Меры против последующего взлома надо принять как организационные, так и технические.

    1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.

    2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.

    2. Различные SQL серверы - также менять пароли, проверять, последняя ли версия установлена. Взлом через дыры SQL-сервера - классика жанра.

    3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    4. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

    Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

Похожие темы

  1. Ваши базы данных заархивированы с паролем
    От Умар в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 15.02.2014, 14:21
  2. БАЗЫ ДАННЫХ
    От raushan в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 17.05.2013, 10:44
  3. Зашифрованы файлы базы данных
    От valera2 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 04.09.2012, 20:46

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01480 seconds with 20 queries