Показано с 1 по 11 из 11.

Найти причину заражения .harma (заявка № 223190)

  1. #1
    Junior Member Репутация
    Регистрация
    04.07.2019
    Сообщений
    8
    Вес репутации
    1

    Найти причину заражения .harma

    Здравствуйте, ОС Windows 2012 R2, помогите найти причину заражения и шифрования сервера. Файлы зашифрованы от пользователя гость, использовался как общая сетевая шара + ТС, сейчас не используется, но 9 числа были на нем зашифрована часть файлов (первая волна была ранее), хочется понять где эта зараза живет.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,316
    Вес репутации
    352
    Уважаемый(ая) savingleb, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,461
    Вес репутации
    3068
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    04.07.2019
    Сообщений
    8
    Вес репутации
    1
    Прикрепляю
    Вложения Вложения
    • Тип файла: rar frst.rar (15.8 Кб, 1 просмотров)

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,461
    Вес репутации
    3068
    Судя по тому, что отсутствуют сообщения вымогателей для связи с ними (файлы Info.hta), источник шифрования мог находиться на другой машине, находящейся в одной сети с сервером.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    04.07.2019
    Сообщений
    8
    Вес репутации
    1
    А как он вообще работает? Что перекрывать в первую очередь? Сеть из 60 ПК, как найти где он сидит, либо извне по rdp? Хотя после шифрования сервер не смотрит в мир.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,461
    Вес репутации
    3068
    Вирус прописывается в реестре в автозапуск при старте.

    2019-07-05 15:46 - 2019-07-05 15:46 - 000000522 ___SH C:\Users\Public\Documents\desktop.ini.id-44739AFD.[savemydata@qq.com].harma
    2019-07-05 15:46 - 2019-07-05 15:46 - 000000410 ___SH C:\Users\Public\Downloads\desktop.ini.id-44739AFD.[savemydata@qq.com].harma
    2019-07-05 15:46 - 2019-07-05 15:46 - 000000410 ___SH C:\Users\Public\desktop.ini.id-44739AFD.[savemydata@qq.com].harma
    Судя по времени рабочий день еще не должен был закончиться. Злоумышленники обычно не рискуют заходить по RDP в рабочее время. А значит это могло быть вложение к письму или что-то, скачанное из Интернета. Но вход по RDP полностью тоже исключать не стоит.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    04.07.2019
    Сообщений
    8
    Вес репутации
    1
    5го числа все началось, пришлось восстанавливать сервер из бекапа, потом повторилось 8 числа, особого время не нанесло, а на этом сервере дата изменения 9 число, значит он до сих пор где то живет. Что мне нужно предпринять, что бы найти его? Сетевые общие диски отключили, есть ли вероятность что он сканирует открытые ресурсы?

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,461
    Вес репутации
    3068
    Если вирус шифрует по сети, значит, конечно же сканирует доступные общие ресурсы. Имена файлов с записками вымогателей для связи я писал выше. Еще оставляет текстовик FILES ENCRYPTED.TXT. Имена исполняемых файлов могут быть разными. Встречались 1explorer.exe, 1Save.exe, 1EndGame.exe. Прописываются в system32, Start Menu\Programs\Startup в профиле пользователя.

    Только поиск средствами Windows, включая в поиск скрытые и системные файлы.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    04.07.2019
    Сообщений
    8
    Вес репутации
    1
    1Save.exe был у одного из пользователей на удаленной машине, логин и пароль там были короткие, но без знания логина думаю не подобрали бы пароль, значит пользователь сам занес вирус? Данная машина сейчас отключена, но вирус все еще гуляет, каким софтом можно его обнаружить если пройтись по всем машинам?

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,461
    Вес репутации
    3068
    По сети он не распространяется. Только шифрует.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 27.12.2010, 15:49
  2. Помогите найти причину..
    От olnmamaluga в разделе Помогите!
    Ответов: 29
    Последнее сообщение: 31.05.2010, 09:41
  3. Мне кажется что компьютер заражен,не могу найти причину
    От Белоус Сергей в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.02.2009, 03:31
  4. Ответов: 4
    Последнее сообщение: 11.02.2009, 22:31
  5. Ответов: 11
    Последнее сообщение: 03.11.2008, 16:59

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01316 seconds with 20 queries