Зашифровались файлы на сервере [Trojan-Ransom.Win32.Xorist.er
]
Добрый день.
На терминальном сервере зашифровались файлы. Скорее всего была взломана одна из терминальных учеток пользователей. Логи могу сделать только удаленно. Есть тело вируса.
Система MS Server 2003 R2 x64
Есть ли возможность расшифровать?
Прикреплены логи и пример зашифрованного файла в архиве.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) grey82, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#108641
Логи сделайте не через терминальную сессию.
Пришлите картинку зашифрованную.
Есть тело вируса.
Упакуйте его в zip архив с паролем virus и пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Тело вируса в архиве с паролем отправил. Зашифрованную картинку прилагаю (пришлось упаковать, иначе не загружает).
На данный момент сделать логи не из терминальной сессии нет возможности. Как только будет возможность получить физически доступ к машине сразу сделаю логи.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Пароли от RDP и всех учетных записей меняйте на более стойкие.
Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Возникли ньюансы с тем, что как оказалось, вирус не на всех шифрованных файлах изменил расширение. В основном касалось старых баз в DBF. Последующее ручное переименование и запуск расшифровки дополнительно решило вопрос. А так в общем то более или менее решили эту проблему. Спасибо.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: