Вирус кодирует и меняет раширение файлов офиса на сервере.

SongForYou · 21.10.2014, 16:49

Пришел с отпуска и сегодня заметил что на серваке, на сетевом диске фалы ворда экселя и некоторые графические теперь имеют лругое расширение, дополнены названием и даже после смены расширения нечитабельны. В интернете читал что типа вирусняк такой с мая ходит. Заражаются машины чаще через электронную почту. Вот логи.

uvs : http://rghost.ru/58639509

safety · 21.10.2014, 17:00

расширения файлов какое? keybtc@gmail_com?

логи сейчас гляну

safety · 21.10.2014, 17:06

сервер тоже не мешает очистить скриптом. но шифрование было скорее всего с отдельного компа, юзер которого имеет права на сетевой диск.

посмотрите по правам доступа, кто является владельцем защифрованных файлов. вот ту машину и надо искать, хотя возможно процесс шифрования уже завершен.

для сервера выполните скрипт очистки

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.84.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %Sys32%\DRIVERS\{3C9EADA7-386C-4A04-AB1E-4EB122397CED}W64.SYS
delall %Sys32%\DRIVERS\{6FCD6092-9615-4F7F-8898-8DF53980E5D2}W64.SYS
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------

SongForYou · 21.10.2014, 17:31

Расширение добавляется к существующему вот такое .filescrypt2014@foxmail.com_KS9gs
К сетевому диску имеют доступ все работники офиса, т.к. работают на 95% только с ним. Предпологаю что придется прочекать все машины?
Сейчас просто происходит разработка новой организационной системы сервера, и все юзеры временно вне домена.

safety · 21.10.2014, 17:50

в любом случае, проверьте кто является владельцем зашифрованных файлов на сети. шифрование выполнялось с правами того юзера, комп которого был заражен. Т..о. можно определить, с чьего компа было заражение. И чей комп надо чистить в первую очередь

SongForYou · 21.10.2014, 18:34

После обнаружения вируса, оперативно приняли решение отрубить сервак от сети, и вроде решение было хорошее, т.к. шифровка файлов прекратилась. Бухгалтерские файлы зашифрованы примерно на 95%)))

---------- Добавлено в 15:59 ---------- Предыдущее сообщение было написано в 15:55 ----------

Все нашли, сейчас прочекаем и скинем отчет

---------- Добавлено в 16:34 ---------- Предыдущее сообщение было написано в 15:59 ----------

Вот логи с секретарского компа, он видимо и есть источник, чекал так же спомощью uvs:
http://rghost.ru/58641710

RP55.RP55 · 21.10.2014, 18:55

Из подозрительного только это: TYPES.EXE

Полное имя C:\USERS\SECRETAR\APPDATA\ROAMING\ENCR\TYPES.EXE
Имя файла TYPES.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Удовлетворяет критериям
***

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
File_Id 5445B80789000
Linker 2.25
Размер 546318 байт
Создан 21.10.2014 в 09:08:21
Изменен 21.10.2014 в 08:53:12

TimeStamp 21.10.2014 в 01:33:59
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя
Версия файла 1.0.0.0
Описание
Производитель ZIP

Доп. информация на момент обновления списка
SHA1 106AF8029EAF650CBD088D325E961987D572C1A9
MD5 22EB904AE83F6869BED9288381567920

Ссылки на объект
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

------------

Стоит проверить файл здесь: https://www.virustotal.com

safety · 21.10.2014, 19:47

Цитата:

Полное имя C:\USERS\SECRETAR\APPDATA\ROAMING\ENCR\TYPES.EXE

скорее всего, он и есть. и папка по имени сокращенное от Encryption (шифрование)

проверьте этот здесь
https://www.virustotal.com/

и дайте ссылку на линк проверки здесь

+
вышлите этот файл в архиве с паролем infected в почту safety@chklst.ru

SongForYou · 21.10.2014, 21:23

Вот результат проверки.
Сразу бросилась в глаза строка "DrWeb - Trojan.Encoder.398" на их сайте только сегодня писал)
https://www.virustotal.com/ru/file/6...17d9/analysis/

к стати, в папке EncR есть еще один веселый .txt файлик со списком закодированных файлов... Мда уж... Как думаете стоит платить за декодер? Всем на удивление, говорят что они действительно присылают его.

RP55.RP55 · 22.10.2014, 00:25

Попробуйте при наличае лицензии на антивирус обратиться в соответствующею антивирусную компанию.
Возможно есть дешифратор.

Какие шаги предпринять решать вам.

mike 1 · 22.10.2014, 02:25

Увы, но без шансов. Зловред использует каждый раз случайный алгоритм щифрования, поэтому универсального дешифратора не будет.

safety · 22.10.2014, 06:34

http://vms.drweb.com/virus/?i=4010450

SongForYou · 22.10.2014, 10:13

Используем мы бесплатные антивирусы от майкрософт. Дешефратора нет, уже проверено. И как сослался safety на страницу доктора веба, в пункте 6 "С использованием адреса электронной почты filescrypt2014@foxmail.com." вот этот самый пункт к нам и подходит.

Цитата:

В настоящий момент отсутствует возможность расшифровки файлов, пострадавших от действия вредоносных программ семейства Trojan.Encoder.398, однако в этом направлении проводятся исследовательские работы.

safety · 22.10.2014, 11:34

тогда с расшифровкой к Микрософт

а чтобы не пришлось долго ждать, то восстанавливаем файлы с бэкапа.

SongForYou · 22.10.2014, 11:49

Да не делаются у нас сейчас бэкапы

Еще вопросы:
1) Если на всякий пожарный прочекать все машины, нужно выкладывать отдельные логи с каждого компа?
2) Что делать с ексешником? Выполнить скрипт в uVS опубликованный для сервака на зараженном компьютере? Он подойдет или опять же логи нужны?

21.10.2014, 16:49	#1 (ссылка)
SongForYou Новичок Регистрация: 27.02.2012 Сообщений: 23 Репутация: 0	Вирус кодирует и меняет раширение файлов офиса на сервере. Пришел с отпуска и сегодня заметил что на серваке, на сетевом диске фалы ворда экселя и некоторые графические теперь имеют лругое расширение, дополнены названием и даже после смены расширения нечитабельны. В интернете читал что типа вирусняк такой с мая ходит. Заражаются машины чаще через электронную почту. Вот логи. uvs : http://rghost.ru/58639509

21.10.2014, 17:06	#3 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	сервер тоже не мешает очистить скриптом. но шифрование было скорее всего с отдельного компа, юзер которого имеет права на сетевой диск. посмотрите по правам доступа, кто является владельцем защифрованных файлов. вот ту машину и надо искать, хотя возможно процесс шифрования уже завершен. для сервера выполните скрипт очистки выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.84.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %Sys32%\DRIVERS\{3C9EADA7-386C-4A04-AB1E-4EB122397CED}W64.SYS delall %Sys32%\DRIVERS\{6FCD6092-9615-4F7F-8898-8DF53980E5D2}W64.SYS deltmp delnfr restart перезагрузка, пишем о старых и новых проблемах. ----------

21.10.2014, 21:23	#9 (ссылка)
SongForYou Новичок Регистрация: 27.02.2012 Сообщений: 23 Репутация: 0	Вот результат проверки. Сразу бросилась в глаза строка "DrWeb - Trojan.Encoder.398" на их сайте только сегодня писал) https://www.virustotal.com/ru/file/6...17d9/analysis/ к стати, в папке EncR есть еще один веселый .txt файлик со списком закодированных файлов... Мда уж... Как думаете стоит платить за декодер? Всем на удивление, говорят что они действительно присылают его. Последний раз редактировалось SongForYou; 21.10.2014 в 21:47.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус на сервере. Помогите.	sergeyms	Безопасность	6	11.06.2012 20:28
Проблема - вирус или его последствия на Сервере(отваливается шара)	YaZon	Безопасность	1	18.09.2011 14:17
На сервере вирусы.	mixa1ich	Безопасность	5	01.03.2011 21:36
Очень низкая скорость скачивания файлов из интернета. Подозрения на вирус	JazzMan88	Безопасность	1	09.09.2010 23:14
DHCP на сервере 2003	Riger1981	Операционные системы	1	18.08.2010 20:00

21.10.2014, 17:00	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	расширения файлов какое? keybtc@gmail_com? логи сейчас гляну

21.10.2014, 17:31	#4 (ссылка)
SongForYou Новичок Регистрация: 27.02.2012 Сообщений: 23 Репутация: 0	Расширение добавляется к существующему вот такое .filescrypt2014@foxmail.com_KS9gs К сетевому диску имеют доступ все работники офиса, т.к. работают на 95% только с ним. Предпологаю что придется прочекать все машины? Сейчас просто происходит разработка новой организационной системы сервера, и все юзеры временно вне домена.

21.10.2014, 17:50	#5 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	в любом случае, проверьте кто является владельцем зашифрованных файлов на сети. шифрование выполнялось с правами того юзера, комп которого был заражен. Т..о. можно определить, с чьего компа было заражение. И чей комп надо чистить в первую очередь

21.10.2014, 18:34	#6 (ссылка)
SongForYou Новичок Регистрация: 27.02.2012 Сообщений: 23 Репутация: 0	После обнаружения вируса, оперативно приняли решение отрубить сервак от сети, и вроде решение было хорошее, т.к. шифровка файлов прекратилась. Бухгалтерские файлы зашифрованы примерно на 95%))) ---------- Добавлено в 15:59 ---------- Предыдущее сообщение было написано в 15:55 ---------- Все нашли, сейчас прочекаем и скинем отчет ---------- Добавлено в 16:34 ---------- Предыдущее сообщение было написано в 15:59 ---------- Вот логи с секретарского компа, он видимо и есть источник, чекал так же спомощью uvs: http://rghost.ru/58641710

21.10.2014, 18:55	#7 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Из подозрительного только это: TYPES.EXE Полное имя C:\USERS\SECRETAR\APPDATA\ROAMING\ENCR\TYPES.EXE Имя файла TYPES.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Удовлетворяет критериям *** Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] File_Id 5445B80789000 Linker 2.25 Размер 546318 байт Создан 21.10.2014 в 09:08:21 Изменен 21.10.2014 в 08:53:12 TimeStamp 21.10.2014 в 01:33:59 EntryPoint + OS Version 4.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя Версия файла 1.0.0.0 Описание Производитель ZIP Доп. информация на момент обновления списка SHA1 106AF8029EAF650CBD088D325E961987D572C1A9 MD5 22EB904AE83F6869BED9288381567920 Ссылки на объект Prefetcher C:\WINDOWS\Prefetch\Layout.ini ------------ Стоит проверить файл здесь: https://www.virustotal.com

22.10.2014, 00:25	#10 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Попробуйте при наличае лицензии на антивирус обратиться в соответствующею антивирусную компанию. Возможно есть дешифратор. Какие шаги предпринять решать вам.

22.10.2014, 02:25	#11 (ссылка)
mike 1 Новичок Регистрация: 28.10.2013 Сообщений: 48 Репутация: 3	Увы, но без шансов. Зловред использует каждый раз случайный алгоритм щифрования, поэтому универсального дешифратора не будет.

22.10.2014, 06:34	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	http://vms.drweb.com/virus/?i=4010450

22.10.2014, 11:34	#14 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	тогда с расшифровкой к Микрософт а чтобы не пришлось долго ждать, то восстанавливаем файлы с бэкапа.

22.10.2014, 11:49	#15 (ссылка)
SongForYou Новичок Регистрация: 27.02.2012 Сообщений: 23 Репутация: 0	Да не делаются у нас сейчас бэкапы Еще вопросы: 1) Если на всякий пожарный прочекать все машины, нужно выкладывать отдельные логи с каждого компа? 2) Что делать с ексешником? Выполнить скрипт в uVS опубликованный для сервака на зараженном компьютере? Он подойдет или опять же логи нужны?

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)