Найти причину заражения .harma

[savingleb]

Здравствуйте, ОС Windows 2012 R2, помогите найти причину заражения и шифрования сервера. Файлы зашифрованы от пользователя гость, использовался как общая сетевая шара + ТС, сейчас не используется, но 9 числа были на нем зашифрована часть файлов (первая волна была ранее), хочется понять где эта зараза живет.

[Info_bot]

Уважаемый(ая) savingleb, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[savingleb]

Прикрепляю

[thyrex]

Судя по тому, что отсутствуют сообщения вымогателей для связи с ними (файлы Info.hta), источник шифрования мог находиться на другой машине, находящейся в одной сети с сервером.

[savingleb]

А как он вообще работает? Что перекрывать в первую очередь? Сеть из 60 ПК, как найти где он сидит, либо извне по rdp? Хотя после шифрования сервер не смотрит в мир.

[thyrex]

Вирус прописывается в реестре в автозапуск при старте.

2019-07-05 15:46 - 2019-07-05 15:46 - 000000522 ___SH C:\Users\Public\Documents\desktop.ini.id-44739AFD.[[email protected]].harma
2019-07-05 15:46 - 2019-07-05 15:46 - 000000410 ___SH C:\Users\Public\Downloads\desktop.ini.id-44739AFD.[[email protected]].harma
2019-07-05 15:46 - 2019-07-05 15:46 - 000000410 ___SH C:\Users\Public\desktop.ini.id-44739AFD.[[email protected]].harma

Судя по времени рабочий день еще не должен был закончиться. Злоумышленники обычно не рискуют заходить по RDP в рабочее время. А значит это могло быть вложение к письму или что-то, скачанное из Интернета. Но вход по RDP полностью тоже исключать не стоит.

[savingleb]

5го числа все началось, пришлось восстанавливать сервер из бекапа, потом повторилось 8 числа, особого время не нанесло, а на этом сервере дата изменения 9 число, значит он до сих пор где то живет. Что мне нужно предпринять, что бы найти его? Сетевые общие диски отключили, есть ли вероятность что он сканирует открытые ресурсы?

[thyrex]

Если вирус шифрует по сети, значит, конечно же сканирует доступные общие ресурсы. Имена файлов с записками вымогателей для связи я писал выше. Еще оставляет текстовик FILES ENCRYPTED.TXT. Имена исполняемых файлов могут быть разными. Встречались 1explorer.exe, 1Save.exe, 1EndGame.exe. Прописываются в system32, Start Menu\Programs\Startup в профиле пользователя.

Только поиск средствами Windows, включая в поиск скрытые и системные файлы.

[savingleb]

1Save.exe был у одного из пользователей на удаленной машине, логин и пароль там были короткие, но без знания логина думаю не подобрали бы пароль, значит пользователь сам занес вирус? Данная машина сейчас отключена, но вирус все еще гуляет, каким софтом можно его обнаружить если пройтись по всем машинам?

[thyrex]

По сети он не распространяется. Только шифрует.