15 ответов в этой теме

[dimkapavlov]

Добрый день!

На нашем сервере были зашифрованы все файлы в том числе базы 1С. Каким образом вирус попал в систему не понятно, письма никто никакие не открывал, удаленный доступ защищен стойкими паролями.

Все файлы стали с расширением .CRYPT, в имени файлы указана почта злоумышленника - GASWAGEN123@GMAIL.COM.

Попытались восстановить базы из архивов но и они тоже зашифровались - как оказалось вирус висел в процессах и мониторил файловую систему. Процесс который шифрует вычислили и сделали копию EXE файла вируса.

 

 

P.S. К запросу прикрепил архивированную копию вируса - пароль: virus

Сообщение было изменено v.martyanov: 05 Октябрь 2015 - 14:19
Убран вирь

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Vadimka]

Уберите с сообщения вирус! Выкладывать вирус сюда нельзя!

[pig]

И внимательно читайте пункт 3 в ответе робота.

[pig]

И вот это: http://forum.drweb.com/index.php?showtopic=318058

[v.martyanov]

И вот это: http://forum.drweb.com/index.php?showtopic=318058

Там про другой crypt, это потому что ТС решил не указывать полное добавочное расширение.

[Vadimka]

 

Там про другой crypt, это потому что ТС решил не указывать полное добавочное расширение.

 

 

Новый случай или известный?

[v.martyanov]

 

 

Там про другой crypt, это потому что ТС решил не указывать полное добавочное расширение.

 

 

Новый случай или известный?

 

Скорее всего известный.

[dimkapavlov]

 

 

 

Там про другой crypt, это потому что ТС решил не указывать полное добавочное расширение.

 

 

Новый случай или известный?

 

Скорее всего известный.

 

 

Надо сказать что уже встречались с такой ситуацией, в прошлый раз сервер зашифровался и файлы стали .ROTO. Сделали выводы: поменяли пароли на удаленном доступе, настроили резервное копирование в сети (Acronis). Так эта зараза и в сети все архивы зашифровала. Непонятно как она проникает в сеть, прошлый раз все вроде проверили.

[dimkapavlov]

А между тем злоумышленник похоже один и тот же - в прошлый раз такое же письмо получили:

Добрый день, если вы нам пишите то с 99% вероятностью файлы вашей\вашего  фирмы\предприятия были зашифрованны

Сразу хотим сказать что угрозы в любом виде абсолютно не несут не какой смысловой нагрузки.

Ведем диалог только с адекватными льдьми.

Теперь к делу, ваш сервер был взломан по причине халатности\профнепригодности вашего системного администратора который должным образом не обеспечил безопасность сервера вашей фирмы.

Мы не говорим что мы хорошие и делаем только ради помощи, каждый зарабатывает как может ну а мы в свою очередь хотим донести фирмам что к обеспечению безопасности сервера если вы ведете предпринемательскую деятельность нужно относиться серьезно!

шифровку файлов не стоит принимать как повод горевать, растраиваться, опускать руки, это стоит воспринимать как урок и стимул задуматься на будущее.

Есть много хакеров которые делают на много более страшные вещи на взломанных серверах, сливают 

файлы конкурентам, подменивают банковские реквизиты, достают ценную информацию, естесвенно все зависит от того какие файлы вы на сервере.

Ну и естественно ущерб при таких действиях кратно умножается (мы ваши файлы в своих корыстных целях не используем)

Так что не отчаиватесь, за льбой урок нужно платить.

Теперь что касается расшифроки,только у нас есть возможность востановить все файлы до единого включая базы данных 1с

С радостью продемонстрируем возможность расшифровки файлов дабы не быть голословными.

Можете прислать несколько небольших файлов, мы их расшифруем и вышлем вам.

Базы 1с до оплаты не высылаем, если вам нужны доказательства расшифровки именно баз 1с то мы можем вам выслать доступ к программе TeamViwer с помощью которой вы подсоединитесь к нам на пк и мы покажем расшифрованные базы.

Естественно мы покажем уязвимость на вашем сервере и дадим рекомендации по безопасности, если все правильно настроить и делать регулярные бакепы то в будущем волноваться будет не за что.

Теперь по оплате, цены у нас варьируются от 1300$ и выше, более точно сможем с корректировать когда увидим IP вашего сервера.

После оплаты вышлем дешефратор, в нем нужно будет лишь сделать 2 нажатия клавишы, вабрать диск с зашифрованными файлами и нажать кнопку "расшифровать", как правило процедура востановления занимает не более полу часа.

[VVS]

Надо сказать что уже встречались с такой ситуацией, в прошлый раз сервер зашифровался и файлы стали .ROTO. Сделали выводы: поменяли пароли на удаленном доступе, настроили резервное копирование в сети (Acronis).

А не надо с правами админа работать.

А насчёт Acronis и т.п. - Acronis работает от системы, поэтому лично я оставил у каталога с бэкапами админу и пользователям права только на чтение.

[v.martyanov]

В общем, расшифровка вполне возможна. Посему - в саппорт.

[dimkapavlov]

https://www.virustotal.com/ru/file/2170594798683422afc14a5ed79d9be029237f73ea66322a7e661168e7154960/analysis/1444057919/

 

сегодня сутра файл как вирус определялся только тремя антивирусами. Сейчас уже 7 определяет как вредоносный.

ему - в саппорт.

ОК спасибо

[S0LDAT]

dimkapavlov, у нас такая же история, вот лог антивируса (не др.веб)

 

 

05.10.2015 5:09:24 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\Consultant\AppData\Local\Temp\OdTSZIis.exe модифицированный Generik.IICSDJJ троянская программа очищен удалением - изолирован

 

 

Причем у юзера консультант права пользовательские, как зашифровались файлы не ясно. Благо самые нужные вирус не тронул.

Вывод, что вирус принес сотрудник обновляющий систему консультант плюс.

[dimkapavlov]

Создал запрос в ТП - 5.10.2015 - пока ответа не поступило. Не подскажите через сколько обычно отвечает ТП после создания запроса?

Сообщение было изменено dimkapavlov: 09 Октябрь 2015 - 00:30

[Donbass]

Создал запрос в ТП - 5.10.2015 - пока ответа не поступило. Не подскажите через сколько обычно отвечает ТП после создания запроса?

На сайте написано, что максимально допустимое время реакции на запрос — 48 часов.