Показано с 1 по 17 из 17.

Файлы запаролены wunrar-ом (заявка № 202527)

  1. #1
    Junior Member Репутация
    Регистрация
    16.10.2015
    Сообщений
    11
    Вес репутации
    8

    Файлы запаролены wunrar-ом

    Добрый день!

    Хочу попросить о помощи.
    Я читал правила оформления запроса, но не уверен что мой случай требует предоставления всех отчётов тестирующих программ.

    Суть проблемы.

    На сервер был вход по RDP через подбор паролей и были выборочно запоролены winrar-ом архив баз данных 1С, бэкапы 1С и некоторые конфигурационные файлы.
    Рядом с одним из запороленных архивов лежит файл "ВАЖНО!!!!!!!!!!!!!.txt" с требованием оплатить некую сумму через биткоин.

    Судя по тому что что файлы были заархивированы выборочно, на вирус или троян это не похоже.

    Прошу проконсультировать по решению проблемы.

    Спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) Egenius, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Судя по тому что что файлы были заархивированы выборочно, на вирус или троян это не похоже.
    Если пароль более 8 знаков, то без помощи злодеев не вернете свои файлы обратно.

    Я читал правила оформления запроса, но не уверен что мой случай требует предоставления всех отчётов тестирующих программ.
    А где гарантия того, что не оставили заглушку?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member Репутация
    Регистрация
    16.10.2015
    Сообщений
    11
    Вес репутации
    8
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Если пароль более 8 знаков, то без помощи злодеев не вернете свои файлы обратно.


    А где гарантия того, что не оставили заглушку?

    Т.е. Вы советуете провести проверку на вирусы и предоставить отчёты AVZ и HiJackThis ?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Ну наверное. На сервере могли например Backdoor оставить. Знаете как работает Backdoor?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. #6
    Junior Member Репутация
    Регистрация
    16.10.2015
    Сообщений
    11
    Вес репутации
    8
    Да.
    Соберу логи и выложу в ближайшее время.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Ждем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Junior Member Репутация
    Регистрация
    16.10.2015
    Сообщений
    11
    Вес репутации
    8
    Касперский ничего не обнаружил.

    Логи AVZ и HiJackThis во вложении.
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #10
    Junior Member Репутация
    Регистрация
    16.10.2015
    Сообщений
    11
    Вес репутации
    8
    Файл лога во вложении.
    Вложения Вложения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Полное имя C:\USERS\IUSR_TEMPLATE\DESKTOP\IPTS_82839\IPTS.EXE
    Имя файла IPTS.EXE
    Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]

    www.virustotal.com 2016-07-31 [2016-07-14 12:12:25 UTC (2 недель, 3 дней назад)]
    - Файл был чист на момент проверки.

    Удовлетворяет критериям
    CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

    Сохраненная информация на момент создания образа
    Статус в автозапуске [Запускался неявно или вручную]
    File_Id 5785D4E610E000
    Linker 14.0
    Размер 1072640 байт
    Создан 13.07.2016 в 07:43:02
    Изменен 26.07.2016 в 12:37:31

    TimeStamp 13.07.2016 в 05:43:02
    EntryPoint +
    OS Version 5.0
    Subsystem Windows graphical user interface (GUI) subsystem
    IMAGE_FILE_DLL -
    IMAGE_FILE_EXECUTABLE_IMAGE +
    Оригинальное имя IPTS.EXE
    Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
    Цифр. подпись Отсутствует либо ее не удалось проверить

    Оригинальное имя ipts.exe
    Версия файла 2016.7.13.23
    Версия продукта 6.0.1.23
    Описание Traffic Spirit
    Продукт Traffic Spirit
    Copyright Copyright 2016 Spiritsoft All Rights Reserved.
    Производитель Spiritsoft
    Комментарий Traffic Spirit(23)

    Доп. информация на момент обновления списка
    SHA1 B5583932FFD14AD70D2D3B57C18C16BCAB59FFAD
    MD5 D99FB4AB26322C8DD433CE3C85B5075A

    Ссылки на объект
    Ссылка HKLM\udhsypyib\Software\Microsoft\Windows\CurrentV ersion\Run\ipts
    ipts C:\Users\IUSR_TEMPLATE\Desktop\ipts_82839\ipts.exe -h
    SHORTCUT C:\USERS\IUSR_TEMPLATE\DESKTOP\IPTS - ЯРЛЫК.LNK
    Это ваше?

    Выполните скрипт в uVS:

    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    breg
    
    zoo %SystemDrive%\INSTALL\DESKTOP\DESKTOP LOCKER\DESKTOP LOCKER.EXE
    delall %SystemDrive%\INSTALL\DESKTOP\DESKTOP LOCKER\DESKTOP LOCKER.EXE
    dirzooex %SystemDrive%\USERS\IUSR_TEMPLATE\DESKTOP\DESKTOP LOCKER
    deldir %SystemDrive%\USERS\IUSR_TEMPLATE\DESKTOP\DESKTOP LOCKER
    czoo
    После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте новый лог uVS.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  13. #12
    Junior Member Репутация
    Регистрация
    16.10.2015
    Сообщений
    11
    Вес репутации
    8
    Файл не наш, находится в папке пользователя, под которым предположительно был выполнен взлом сервера.
    Карантин выслал.
    Лог добавить не могу, т.к. исчерпан лимит вложений.
    Как можно удалить ненужные файлы в "Управление вложениями" ?
    Последний раз редактировалось Egenius; 01.08.2016 в 13:39.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Как можно удалить ненужные файлы в "Управление вложениями" ?
    Мой кабинет => Вложения
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  15. #14
    Junior Member Репутация
    Регистрация
    16.10.2015
    Сообщений
    11
    Вес репутации
    8
    Спасибо !
    Лог во вложении.
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Папку C:\USERS\IUSR_TEMPLATE\DESKTOP\IPTS_82839 удалите. В остальном порядок. Незнакомые учетные записи на сервере удаляйте или отключайте. Стандартный порт RDP меняйте на другой. Ставьте обновления на сервер. Настройте ограничения по подключению по RDP в пределах локальной сети. Используйте более стойкие пароли на учетных записях.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  17. #16
    Junior Member Репутация
    Регистрация
    16.10.2015
    Сообщений
    11
    Вес репутации
    8
    Спасибо!

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Egenius, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 25.09.2015, 19:22
    2. Ответов: 2
      Последнее сообщение: 29.08.2015, 17:51
    3. Ответов: 12
      Последнее сообщение: 15.07.2015, 10:59
    4. Ответов: 4
      Последнее сообщение: 30.06.2015, 20:19
    5. Ответов: 6
      Последнее сообщение: 13.03.2015, 17:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00737 seconds with 17 queries