Здравствуйте, ОС Windows 2012 R2, помогите найти причину заражения и шифрования сервера. Файлы зашифрованы от пользователя гость, использовался как общая сетевая шара + ТС, сейчас не используется, но 9 числа были на нем зашифрована часть файлов (первая волна была ранее), хочется понять где эта зараза живет.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) savingleb, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Судя по тому, что отсутствуют сообщения вымогателей для связи с ними (файлы Info.hta), источник шифрования мог находиться на другой машине, находящейся в одной сети с сервером.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
А как он вообще работает? Что перекрывать в первую очередь? Сеть из 60 ПК, как найти где он сидит, либо извне по rdp? Хотя после шифрования сервер не смотрит в мир.
Судя по времени рабочий день еще не должен был закончиться. Злоумышленники обычно не рискуют заходить по RDP в рабочее время. А значит это могло быть вложение к письму или что-то, скачанное из Интернета. Но вход по RDP полностью тоже исключать не стоит.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
5го числа все началось, пришлось восстанавливать сервер из бекапа, потом повторилось 8 числа, особого время не нанесло, а на этом сервере дата изменения 9 число, значит он до сих пор где то живет. Что мне нужно предпринять, что бы найти его? Сетевые общие диски отключили, есть ли вероятность что он сканирует открытые ресурсы?
Если вирус шифрует по сети, значит, конечно же сканирует доступные общие ресурсы. Имена файлов с записками вымогателей для связи я писал выше. Еще оставляет текстовик FILES ENCRYPTED.TXT. Имена исполняемых файлов могут быть разными. Встречались 1explorer.exe, 1Save.exe, 1EndGame.exe. Прописываются в system32, Start Menu\Programs\Startup в профиле пользователя.
Только поиск средствами Windows, включая в поиск скрытые и системные файлы.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
1Save.exe был у одного из пользователей на удаленной машине, логин и пароль там были короткие, но без знания логина думаю не подобрали бы пароль, значит пользователь сам занес вирус? Данная машина сейчас отключена, но вирус все еще гуляет, каким софтом можно его обнаружить если пройтись по всем машинам?