94 ответов в этой теме

[IlyaS]

"но вот что привело к шифрованию файлов ТОЛЬКО на шаре (в остальных "нерасшаренных" папках сервера файлы были не зашифрованы) мне непонятно."
Какой-то пораженный ПК имел доступ к этим шарам. Возможно, кто-то пришлый, с ноутбука?
Всунутая флэшка тоже могла помочь.

Скорее сетевой диск подключен под буквой A: или B:.

[Kirill Polubelov]

Мсье понимает толк

[IlyaS]

Раз напоролся - запомнишь навсегда

[Vladimir K.]

P.S. если кому интересно могу выложить _ftcgpk.exe и _ftcgpk.dll.

 

Эти файлы устанавливались давным-давно программой SBERSIGN от Сбербанка - старой версией клиент-банка, которая уже не актуальна и видимо, была удалена, но "хвосты" остались. Опасности они не представляют, можно их смело удалять. К шифровальщику отношения точно не имеют.

[zirro.s]

Сетевой диск у всех подключен как "S". По флешкам - были допрошены с пристрастием (правда удаленно  ) все 3 человека у которых компьютер был включен на момент обнаружения заразы (точнее последствия её действий) - все клянуться что ничего не вставляли, ну и естественно автозапуск с флешек запрещён.

[Vladimir K.]

если что, на всех компьютерах, включая сам сервер, установлен Drweb ES 10 с актуальными базами

 

А что с настройками превентивной защиты? Меняли где-либо или на всех машинах дефолтные? Возможно, что троян пролез с той машины, где были изменены настройки превентивки, либо у пользователя есть права на ее остановку, что, вполне возможно и произошло. Но это так, гадание на кофейной гуще.

[zirro.s]

 

P.S. если кому интересно могу выложить _ftcgpk.exe и _ftcgpk.dll.

 

Эти файлы устанавливались давным-давно программой SBERSIGN от Сбербанка - старой версией клиент-банка, которая уже не актуальна и видимо, была удалена, но "хвосты" остались. Опасности они не представляют, можно их смело удалять. К шифровальщику отношения точно не имеют.

 

 

Я понял что это хвосты, а не шифровальщик. Просто поиск шифровальщика помог их обнаружить и решить проблему, описанную в названии темы. А файлы я предлагал разработчикам, вдруг им интересно почему при работающем процессе _ftcgpk не запускаются компоненты.

[zirro.s]

 

если что, на всех компьютерах, включая сам сервер, установлен Drweb ES 10 с актуальными базами

 

А что с настройками превентивной защиты? Меняли где-либо или на всех машинах дефолтные? Возможно, что троян пролез с той машины, где были изменены настройки превентивки, либо у пользователя есть права на ее остановку, что, вполне возможно и произошло. Но это так, гадание на кофейной гуще.

 

 

Филиал небольшой все в 1 группе с дефолтными настройками (за исключением исключений для LiteManager). И троян оставил бы след на локальной машине (зашифровал бы файлы на локальных дисках). А ни на одной станции не было файлов *.neitrino. На сервере эти файлы были только в расшаренной папке.

[zirro.s]

Ну и шифрование также прекратилось странно. По времени сейчас поминутно не восстановлю, но примерно в 8 перезагрузили сервер и включили в локалку и начали потихоньку работать, из всех файлов *.neitrino самый поздний был 8:30 (оба времени примерные)

Сообщение было изменено zirro.s: 15 Январь 2016 - 13:21

[IlyaS]

Ну и шифрование также прекратилось странно. По времени сейчас поминутно не восстановлю, но примерно в 8 перезагрузили сервер и включили в локалку и начали потихоньку работать, из всех файлов *.neitrino самый поздний был 8:30 (оба времени примерные)

А самый ранний .neitrino?
Файлов *decrypt* или другого с инструкцией куда обращаться за расшифровкой нигде не было?
По-моему, лучше не трогать эти .neitrino и обратиться в ТП, если нужна расшифровка.

Сообщение было изменено IlyaS: 15 Январь 2016 - 13:37

[Vladimir K.]

А ни на одной станции не было файлов *.neitrino. На сервере эти файлы были только в расшаренной папке.

 

К серверу есть доступ по RDP? Если есть - меняйте пароли на сложные. Есть разновидности шифровальщиков, которые именно так и проникают на сервера - путем взлома RDP вручную. Может быть это ваш случай.

[Vladimir K.]

в 8 перезагрузили сервер и включили в локалку и начали потихоньку работать, из всех файлов *.neitrino самый поздний был 8:30 (оба времени примерные)

 

У многих шифровальщиков встречается задержка по времени срабатывания, так что проникнуть мог гораздо раньше, например, ночью.

[zirro.s]

 

А самый ранний .neitrino?
Файлов *decrypt* или другого с инструкцией куда обращаться за расшифровкой нигде не было?
По-моему, лучше не трогать эти .neitrino и обратиться в ТП, если нужна расшифровка.

 

 

По времени так и не смог привязаться к какому либо событию. 1 компьютер вообще на ночь не выключается. Потом пришли те самые 3 человека примерно. Если судить по временным отметкам файлов neitrino, то началось всё через несколько минут после включения первых компьютеров. Но пользователи КЛЯНУТСЯ, что почту вообще не открывали (и уж тем более письма с непонятными вложениями) и флешками не пользовались. И повторю в 3 раз - на компах пользователей никаких следов. 

 

В общем ни почему это началось ни почему закончилось - непонятно.

 

Файлы с инструкцией были. Я даже тему схожую нашёл http://forum.drweb.com/index.php?showtopic=322766. Содержание инструкции практически один в один, только ID другой и срок.

Шифрованные файлы я уже удалил и восстановил из резервной копии нормальные. Кстати, в последующем посте Vladimir K говорит о том зашифроваться могло ночью - резервная копия была сделана ночью, в ней всё нормально.

Сообщение было изменено zirro.s: 15 Январь 2016 - 14:04

[zirro.s]

 

А ни на одной станции не было файлов *.neitrino. На сервере эти файлы были только в расшаренной папке.

 

К серверу есть доступ по RDP? Если есть - меняйте пароли на сложные. Есть разновидности шифровальщиков, которые именно так и проникают на сервера - путем взлома RDP вручную. Может быть это ваш случай.

 

 

Да есть. Спасибо за совет, пожалуй воспользуюсь. А вообще там уже нет особой необходимости в RDP, может и вообще прикрою.

[zirro.s]

 

А ни на одной станции не было файлов *.neitrino. На сервере эти файлы были только в расшаренной папке.

 

К серверу есть доступ по RDP? Если есть - меняйте пароли на сложные. Есть разновидности шифровальщиков, которые именно так и проникают на сервера - путем взлома RDP вручную. Может быть это ваш случай.

 

 

Положим он так и проник на сервер, но почему шифровал то только файлы в расшаренной папке?

[Vladimir K.]

Это уже вопрос к техподдержке, IMHO.

[Vladimir K.]

А кстати, какие настройки безопасности на шарах настроены? Группа "Все" на полный доступ?

[Vladimir K.]

А вот в соседней ветке как раз по вашему вопросу : http://forum.drweb.com/index.php?showtopic=323667

[zirro.s]

А кстати, какие настройки безопасности на шарах настроены? Группа "Все" на полный доступ?

А вот в соседней ветке как раз по вашему вопросу : http://forum.drweb.com/index.php?showtopic=323667

 

По настройкам - грубо говоря да. Филиал мизерный. Точнее не всё, а содержимое конкретной папки, которая подключена как сетевой диск у пользователей 

В соседней ветке говорится об удалении вредоносного ПО после 10 (ДЕСЯТИ!!!) зашифрованных файлов.

1. Положим шифровальщик был на сервере: там зашифрованных файлов было, если не ошибаюсь тысяч 15 (поздновато опомнился Drweb).

2. Если шифровальщик был на станции и Drweb его удалил после того как "увидел" 10 зашифрованных файлов на локальном диске, но сами то шифрованные файлы бы остались.

Сообщение было изменено zirro.s: 15 Январь 2016 - 15:01

[zirro.s]

"но вот что привело к шифрованию файлов ТОЛЬКО на шаре (в остальных "нерасшаренных" папках сервера файлы были не зашифрованы) мне непонятно."

Какой-то пораженный ПК имел доступ к этим шарам. Возможно, кто-то пришлый, с ноутбука?

Всунутая флэшка тоже могла помочь.

Ну нет же, почитайте, пожалуйста. Опрошены все, кто пришёл в офис первыми и они же заметили процесс шифрования. Кроме них никого не было на тот момент. Они НЕ пользовались почтой, НЕ втыкали флешки. Конечно всё это со слов людей, которые от меня 700 км. Поражённый ПК так и не был выявлен. Буду рад подсказкам как его найти. Хотя, на данный момент, без каких-либо действий с моей стороны проблема разрешилась сама: файлы восстановлены, но не шифруются.