Показано с 1 по 7 из 7.

Помогите обезвредить сервер после вируса шифровщика (заявка № 189764)

  1. #1
    Junior Member Репутация
    Регистрация
    08.09.2015
    Сообщений
    3
    Вес репутации
    9

    Помогите обезвредить сервер после вируса шифровщика

    Организация с 10 компьютерами и 2-мя серверами просила помочь в защите от вирусов.
    Год назад поймали вирус с шифрованием, на сервере были зашифрованы файлы от 1С 7.7. заплатили, после чего расшифровали данные.
    Неделю назад поймали другую разновидность шифровальщика, кроме всего прочего были зашифрованы базы SQL от 1С 8 и резервные копии на другом сервере. Шифровальщик работал на двух серверах, логи были почищены, службы SQL остановлены, заплатили и все расшифровали.
    После всего этого позвали меня. Утилиты антивируса касперского в безопасном режиме и с загрузочного диска нашли вирус Trojan-Ransom.Win32.Xorist.lk, судя по дате создания файлов, это остатки первого шифровальщика. Каперский на Утилиту расшифровки первого шифровальщика, тоже так же ругается.
    Антивируса на серверах не было, только на рабочих станциях.
    Если с первым шифровщиком все понятно, работали в терминале, получили почту и вирус прошел на серер,
    то рождается несколько вопросов про второй вирус:
    1. По словам админа теперь все работали локально, а вирус прошел на сервера.
    2. Как шифровщик мог попасть сразу на два сервера, на которых, судя по датам создания шифрованных файлов, вирус сработал в субботу ночью и проработал часов 8-9 все зашифровав.
    3. Как найти и убить эту заразу ?
    4. Слишком много натворил вирус, и журналы почистил и службы остановил, все таки как убедиться, что это вирус, а не дело рук удаленного мошенника/инсайдера, который получил административный доступ.

    Вот файлы AVZ от контролера домена:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) asz2000, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Расширение у зашифрованных файлов какое?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    08.09.2015
    Сообщений
    3
    Вес репутации
    9
    Расширение файлов было AMBA, также назывался и дешифратор

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от asz2000 Посмотреть сообщение
    вирус сработал в субботу ночью
    Значит попали удаленно, подобрав пароль
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    08.09.2015
    Сообщений
    3
    Вес репутации
    9

    А АVZ что нибудь нашел ?

    Цитата Сообщение от thyrex Посмотреть сообщение
    Значит попали удаленно, подобрав пароль
    Да RDP был открыт пароль админа, был не очень сложный. Но Я хочу понять действия злоумышлеников.
    Т.е. по Вашему единовременное воздействие на обои сервера в выходные указывает на однозначное удаленное управление этим процессом?
    Т.е. вирус в сервера не проникал, были просканированы порты, узнали что RDP открыт, подобрали пароль. Или все-таки вирус прошел, открыл какой-то бэкдор, а затем получили удаленный доступ.

    Логи avz не показывают признаки наличие вируса ?
    Логи avz могут показать наличие бэкдора ?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от asz2000 Посмотреть сообщение
    Т.е. по Вашему единовременное воздействие на обои сервера в выходные указывает на однозначное удаленное управление этим процессом?
    а как иначе.
    Зашли, сделали черное дело и зачистили следы

    Логи в порядке
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 19.05.2015, 20:55
  2. вируса-шифровщика
    От Alex 1982 в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 10.11.2014, 16:25
  3. Ответов: 3
    Последнее сообщение: 21.08.2014, 13:43
  4. Ответов: 11
    Последнее сообщение: 25.09.2011, 23:14
  5. Ответов: 1
    Последнее сообщение: 31.01.2009, 17:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01018 seconds with 17 queries