21.10.2014, 16:49 | #1 (ссылка) |
Новичок
Регистрация: 27.02.2012
Сообщений: 23
Репутация: 0
|
Вирус кодирует и меняет раширение файлов офиса на сервере.
Пришел с отпуска и сегодня заметил что на серваке, на сетевом диске фалы ворда экселя и некоторые графические теперь имеют лругое расширение, дополнены названием и даже после смены расширения нечитабельны. В интернете читал что типа вирусняк такой с мая ходит. Заражаются машины чаще через электронную почту. Вот логи.
uvs : http://rghost.ru/58639509 |
21.10.2014, 17:06 | #3 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
сервер тоже не мешает очистить скриптом. но шифрование было скорее всего с отдельного компа, юзер которого имеет права на сетевой диск.
посмотрите по правам доступа, кто является владельцем защифрованных файлов. вот ту машину и надо искать, хотя возможно процесс шифрования уже завершен. для сервера выполните скрипт очистки выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.84.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %Sys32%\DRIVERS\{3C9EADA7-386C-4A04-AB1E-4EB122397CED}W64.SYS delall %Sys32%\DRIVERS\{6FCD6092-9615-4F7F-8898-8DF53980E5D2}W64.SYS deltmp delnfr restart ---------- |
21.10.2014, 17:31 | #4 (ссылка) |
Новичок
Регистрация: 27.02.2012
Сообщений: 23
Репутация: 0
|
Расширение добавляется к существующему вот такое .filescrypt2014@foxmail.com_KS9gs
К сетевому диску имеют доступ все работники офиса, т.к. работают на 95% только с ним. Предпологаю что придется прочекать все машины? Сейчас просто происходит разработка новой организационной системы сервера, и все юзеры временно вне домена. |
21.10.2014, 17:50 | #5 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
в любом случае, проверьте кто является владельцем зашифрованных файлов на сети. шифрование выполнялось с правами того юзера, комп которого был заражен. Т..о. можно определить, с чьего компа было заражение. И чей комп надо чистить в первую очередь
|
21.10.2014, 18:34 | #6 (ссылка) |
Новичок
Регистрация: 27.02.2012
Сообщений: 23
Репутация: 0
|
После обнаружения вируса, оперативно приняли решение отрубить сервак от сети, и вроде решение было хорошее, т.к. шифровка файлов прекратилась. Бухгалтерские файлы зашифрованы примерно на 95%)))
---------- Добавлено в 15:59 ---------- Предыдущее сообщение было написано в 15:55 ---------- Все нашли, сейчас прочекаем и скинем отчет ---------- Добавлено в 16:34 ---------- Предыдущее сообщение было написано в 15:59 ---------- Вот логи с секретарского компа, он видимо и есть источник, чекал так же спомощью uvs: http://rghost.ru/58641710 |
21.10.2014, 18:55 | #7 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Из подозрительного только это: TYPES.EXE
Полное имя C:\USERS\SECRETAR\APPDATA\ROAMING\ENCR\TYPES.EXE Имя файла TYPES.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Удовлетворяет критериям *** Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] File_Id 5445B80789000 Linker 2.25 Размер 546318 байт Создан 21.10.2014 в 09:08:21 Изменен 21.10.2014 в 08:53:12 TimeStamp 21.10.2014 в 01:33:59 EntryPoint + OS Version 4.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя Версия файла 1.0.0.0 Описание Производитель ZIP Доп. информация на момент обновления списка SHA1 106AF8029EAF650CBD088D325E961987D572C1A9 MD5 22EB904AE83F6869BED9288381567920 Ссылки на объект Prefetcher C:\WINDOWS\Prefetch\Layout.ini ------------ Стоит проверить файл здесь: https://www.virustotal.com |
21.10.2014, 19:47 | #8 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Цитата:
проверьте этот здесь https://www.virustotal.com/ и дайте ссылку на линк проверки здесь + вышлите этот файл в архиве с паролем infected в почту safety@chklst.ru |
|
Ads | |
21.10.2014, 21:23 | #9 (ссылка) |
Новичок
Регистрация: 27.02.2012
Сообщений: 23
Репутация: 0
|
Вот результат проверки.
Сразу бросилась в глаза строка "DrWeb - Trojan.Encoder.398" на их сайте только сегодня писал) https://www.virustotal.com/ru/file/6...17d9/analysis/ к стати, в папке EncR есть еще один веселый .txt файлик со списком закодированных файлов... Мда уж... Как думаете стоит платить за декодер? Всем на удивление, говорят что они действительно присылают его. Последний раз редактировалось SongForYou; 21.10.2014 в 21:47. |
22.10.2014, 10:13 | #13 (ссылка) | |
Новичок
Регистрация: 27.02.2012
Сообщений: 23
Репутация: 0
|
Используем мы бесплатные антивирусы от майкрософт. Дешефратора нет, уже проверено. И как сослался safety на страницу доктора веба, в пункте 6 "С использованием адреса электронной почты filescrypt2014@foxmail.com." вот этот самый пункт к нам и подходит.
Цитата:
|
|
22.10.2014, 11:49 | #15 (ссылка) |
Новичок
Регистрация: 27.02.2012
Сообщений: 23
Репутация: 0
|
Да не делаются у нас сейчас бэкапы
Еще вопросы: 1) Если на всякий пожарный прочекать все машины, нужно выкладывать отдельные логи с каждого компа? 2) Что делать с ексешником? Выполнить скрипт в uVS опубликованный для сервака на зараженном компьютере? Он подойдет или опять же логи нужны? |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вирус на сервере. Помогите. | sergeyms | Безопасность | 6 | 11.06.2012 20:28 |
Проблема - вирус или его последствия на Сервере(отваливается шара) | YaZon | Безопасность | 1 | 18.09.2011 14:17 |
На сервере вирусы. | mixa1ich | Безопасность | 5 | 01.03.2011 21:36 |
Очень низкая скорость скачивания файлов из интернета. Подозрения на вирус | JazzMan88 | Безопасность | 1 | 09.09.2010 23:14 |
DHCP на сервере 2003 | Riger1981 | Операционные системы | 1 | 18.08.2010 20:00 |