Вирус [email protected]

[[email protected]]

Добрый день. Сегодня неожиданно обнаружили шифровальщика. Все файлы с расширением - [email protected]
Нашли файл к текстом "Для расшифровки пишите: [email protected] Укажите ПИН: 65"

Спасите нас пожалуйста, у нас там данные Благотворительного фонда - www.bfbd.ru

[Info_bot]

Уважаемый(ая) [email protected], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[[email protected]]

вирус - trojan.downloader.10.20280

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[[email protected]]

Направляю

[thyrex]

Логи сервера на предмет постороннего входа по RDP вчера вечером уже изучили?

[[email protected]]

Была взломана учетка. Я не системный администратор. Ему вставили сегодня и он ушел с работы. Если подскажите как сделать - то я Вам дам информацию.

- - - - -Добавлено - - - - -

Можем для образца предоставить начальный файл и зашифрованный

[thyrex]

Боюсь, что без тела шифратора что-то определенное сказать трудно.

По поводу просмотра логов сервера попросил коллег посмотреть. Но это будет часа через 2-3

[[email protected]]

мы ждем. Спасибо

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\DSite" /F', 0, 15000, true);
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('c:\Program Files (x86)\7-Zip\7z.exe', ' a -t7z -mx9 -m0=ppmd:o=32:mem=768m events.7z *.evtx', 0, 200000, false);
end.

В папке с AVZ появится архив Events.7z, загрузите его на доступное облачное хранилище или файлообменник и дайте ссылку в теме.

[[email protected]]

архив не создается, происходит автоматическое завершение работы

- - - - -Добавлено - - - - -

https://yadi.sk/d/LBaMeMHO3JM3pz

изменения только в этой папке происходит

[Vvvyg]

Странно. А файлы system.evtx, Security.evtx, Application.evtx не создались в папке с AVZ? Покажите скрин с логом выполнения скрипта в AVZ.
И вообще, скрипт из сообщения #10 точно выполняли?

[[email protected]]

Делали, как указано по ссылке. Однако по завершению работы - осуществляется выключение работы ПК

[Vvvyg]

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[[email protected]]

направляю

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
delref %SystemDrive%\USERS\OPERAT~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec wevtutil.exe epl Security Security.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

В папке с UVS появится архив Events.7z, загрузите его в облако и дайте ссылку в теме.

[[email protected]]

https://yadi.sk/d/2RUln0RL3JRad8

[Vvvyg]

Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 18.05.2017 17:28:19
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
Компьютер: ServerSK
Описание:
Файл журнала Application очищен.

Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 18.05.2017 17:28:19
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
Компьютер: ServerSK
Описание:
Файл журнала Doctor Web очищен.


Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 18.05.2017 17:28:19
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
Компьютер: ServerSK
Описание:
Файл журнала Application очищен.

Имя журнала: System
Источник: Microsoft-Windows-Eventlog
Дата: 18.05.2017 17:28:19
Код события: 104
Категория задачи:Очистка журнала
Уровень: Сведения
Ключевые слова:
Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
Компьютер: ServerSK
Описание:
Файл журнала System очищен.

Полагаю, непосредственно перед этим злоумышленник проник в систему и зашифровал данные, а затем подчистил следы.
Попытки входа через терминальный доступ фиксируются в журнале безопасности каждые несколько секунд, новый взлом - лишь дело времени.
В общем - ищите нормального сисадмина, если коротко, всё печально...