Показано с 1 по 7 из 7.

Зашифровались файлы на терминальном сервере [Trojan-Ransom.Win32.Cryakl.ar ] (заявка № 181309)

  1. #1
    Junior Member Репутация
    Регистрация
    06.04.2015
    Сообщений
    6
    Вес репутации
    10

    Зашифровались файлы на терминальном сервере [Trojan-Ransom.Win32.Cryakl.ar ]

    Добрый день!
    На терминальном сервере зашифровались файлы. Тела вируса нет. Логи сделаны локально. Server 2003 x64 R2. В прикрепленных файлах: логи диагностики AVZ и Hijackthis, в архиве files зашифрованый файл и оригинал.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Олег Резник, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,588
    Вес репутации
    836
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     QuarantineFile('C:\Documents and Settings\terminal_\Program Files (x86)\1\1cb.exe', '');
     QuarantineFileF('C:\Documents and Settings\terminal_\Program Files (x86)\1', '*', true, '', 0, 0, '', '', '');
     DeleteFile('C:\Documents and Settings\terminal_\Program Files (x86)\1\1cb.exe', '32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'progrmma');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    Перезагрузите сервер.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Смените пароли на учётки с администраторскими правами и с правами работы в терминальном режиме, у кого они были не по делу - отобрать права администратора. Запускался шифровальщик под пользователем terminal_ - с ним в первую очередь разберитесь.

    Доступ по RDP к серверу только из локальной сети, или из интернета?
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    06.04.2015
    Сообщений
    6
    Вес репутации
    10
    Доступ по RDP к серверу из локальной сети и из интернета. Файл с карантином отправил по ссылке "Прислать запрошенный карантин".
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,588
    Вес репутации
    836
    Удалите папку C:\Documents and Settings\terminal_\Program Files (x86)\1.

    С расшифровкой не поможем.

    Восстанавливайте из бэкапов, пробуйте найти в расшаренных папках на вкладке "Предыдущие версии".

    Рекомендации по безопасности:

    Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

    Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    06.04.2015
    Сообщений
    6
    Вес репутации
    10
    Большое спасибо!

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\terminal_\program files (x86)\1\1cb.exe - Trojan-Ransom.Win32.Cryakl.ar ( DrWEB: Trojan.Encoder.567, BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Олег Резник, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 19.01.2015, 17:14
    2. Ответов: 11
      Последнее сообщение: 28.11.2014, 13:39
    3. Ответов: 8
      Последнее сообщение: 07.10.2014, 13:06
    4. lockdir.exe зашифровал файлы на терминальном сервере
      От Антон Антонов в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.12.2012, 15:33
    5. Остатки вируса на терминальном сервере
      От neonox в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.07.2011, 04:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00826 seconds with 17 queries