Появились файлы вида "160-фев.xls.id-4229639946_maxcrypt@foxmail2"

s3df0x · 06.04.2015, 08:39

В общем в локальной сети организации есть "Сервер" с расшаренной папкой, для обмена файлами. с 03.04.15 там начали появлятся файлы взамен тех которые были с припиской .id-4229639946_maxcrypt@foxmail2.com, предположительно в сети на одном из компьютеров завелся вирус.
На том компьютере с расшаренной папкой стоит Windows Server 2008. Даже не знаю с чего начинать копать?

отключил доступ к изменению файлов по сети на сервере

как определить с какого компьютера производится переименовывание файлов и их криптация?

файл пример http://rghost.ru/8t8vrxGJw

safety · 06.04.2015, 09:04

проверьте свойства зашифрованного файла, кто является его владельцем

плюс методом исключений, если немного компов в сети определить зараженный комп.

или если есть удаленный доступ к этим компам, тогда просмотреть список процессов - шифратор там должен сразу броситься в глаза. Какое нибудь длинное наименование документа, типа судебная повестка...... exe
---------
судя по имени зашифрованного файла - это encoder.741, так что по расшифровке ваш случай не безнадежен.
вот примеры шифраторов.741

Архивная документация о привлечении в качестве свидетеля по гражданскому делу №72971.vexe
Судебная повестка по гражданскому делу №18244.vexe
Судебная повестка по гражданскому делу №17695.Vexe
--------
можно так же обзвонить пользователей на предмет, кто из них мог открыть подобный документ в почте.

s3df0x · 06.04.2015, 09:21

Компьютеров много около 40-45, в свойствах переименнованных файлов владелец "Гость". Гостевая включена на сервере. Я уже сейчас представляю сколько будет шуму с этими файлами. У всех отделов там важная информация, хотя всех предупреждали что это папка для обмена а не для хранения. Но это ладно это наши уже проблемы.
А есть ли возможность посмотреть в логах сервера с каких компьютеров производилось переименование файлов?

safety · 06.04.2015, 09:31

сервер виндовый? сколько примерно сейчас пользователей работает? посмотрите по дате и времени начало шифрования файлов, когда все началось, и примерно даты входа пользователей на сервер... через просмотр событий
---------
мы практикуем подобные папки для обменов обнулять раз в неделю, чтобы не привыкали там что-то важное хранить. обмен есть обмен.

safety · 06.04.2015, 09:39

централизованное управление антивирусами есть? если есть, запустите задачу сканирования на всех компах.

+
конечно, логическим путем определяйте зараженный комп.

s3df0x · 06.04.2015, 09:50

Сервер на Windows 2008
у некоторых файлов неверная дата стоит еще за 2002 год. Непонятная ситуация, либо на компьютере с которого файлы криптовались, неправильное время, либо что то другое скриншот
Еще усугубляет то что на сервере стоит Usergate

---------- Добавлено в 08:47 ---------- Предыдущее сообщение было написано в 08:45 ----------

Компьютер вероятно найден, на нем все файлы имееют такое имя... интересно, он 1 в сети или нет(

---------- Добавлено в 08:50 ---------- Предыдущее сообщение было написано в 08:47 ----------

Еще я написал на почту злоумышленника, "Что он хочет" ответ был следующим 200$

safety · 06.04.2015, 10:02

если на сервере в папке обмена у всех зашифрованных одинаковый id
.id-4229639946
значит шифрование шло только с одной машины.
в данном случае id однозначно указывает на ту машину, которая показана на скриншоте.
---------------
по расшифровке есть вариант обратиться в ДрВеб, у них было решение по расшифровке encoder.741
так что по затратам это будет дешевле чем 200$,
всего лишь приобрести лицензию ДрВеба.

safety · 06.04.2015, 10:11

+
если есть возможность, сделайте образ автозапуска на зараженной машине, поищем тело шифратора.

s3df0x · 06.04.2015, 10:24

уже делаю, у нас куплен dr web

---------- Добавлено в 09:17 ---------- Предыдущее сообщение было написано в 09:16 ----------

и он стоит на той машине с которой идет заражение

---------- Добавлено в 09:19 ---------- Предыдущее сообщение было написано в 09:17 ----------

Логи зараженного компьютера

---------- Добавлено в 09:21 ---------- Предыдущее сообщение было написано в 09:19 ----------

Логи делал ч/з удаленный доступ с исп. LiteManager

---------- Добавлено в 09:24 ---------- Предыдущее сообщение было написано в 09:21 ----------

В автозагрузке там есть файл maxcrypt.bmp видимо это он

safety · 06.04.2015, 10:29

1. по очистке системы:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\5DD.TMP
addsgn 925277FA166AC1CC0B64524E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BB980503E021E8A2FD3EC104D1249ACFE1CEC21051DB32F2D75A4BF5796B2E3 14 Spy.Eye

addsgn 925277FA166AC1CC0B64524E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B4391523E021E8A2FD3EC21521449ACFE1CEC21051DB32F2D75A4BF5796B2E3 64 Trojan-Ransom.Win32.Crypren.vhs

addsgn 4A30F0DD553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3A9EAB728164C70939330A85CC82F8DC5D60F819EBDCC8E7D80ED0DD0DD 8 Win32/Filecoder.DG [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\SVCHOST.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MAXCRYPT.BMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MAXCRYPT.BMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\5DD.TMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\SVCHOST.EXE
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru
----------
этот же архив можно и в ДрВеб отправить, раз пропущен шифратор.

2. по расшифровке.
в таком случае вы можете обратиться к ним с запросом на расшифровку этого варианта шифратора.
бесплатно, поскольку являетесь их лицензионными пользователями.

safety · 06.04.2015, 10:32

шифратор скорее всего этот файл
%SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\SVCHOST.EXE
https://www.virustotal.com/ru/file/f...4c60/analysis/
ESET-NOD32 Win32/Filecoder.DG

он уже отработал, раз вывешена заставка.
в автозапуске его нет.
-----------
темп не стал пока чистить, возможно что-то еще запросят в ДрВеб, если возьмутся за расшифровку.

maxcrypt.bmp - это файл заставки на рабочий стол, просто картинка.

s3df0x · 06.04.2015, 10:54

Скриншот раз)
Отправил запрос в службу поддержки Dr.Web, не знаю точно прокатит наш ключ или нет. Жду ответа, это два)
Файл вам отправил. Продублирую и в Dr.Web.

---------- Добавлено в 09:53 ---------- Предыдущее сообщение было написано в 09:50 ----------

Даа интересненькое сегодня утро понедельника)

---------- Добавлено в 09:54 ---------- Предыдущее сообщение было написано в 09:53 ----------

Продублировал образ и архив zoo в dr.web

safety · 06.04.2015, 11:00

по поводу 48 часов на понт конечно берет, или - или. подождите ответ от ДрВеба. можно так же написать у них на форуме Мартьянову Владимиру, если оперативно не ответят.
http://forum.drweb.com/index.php?showforum=35

s3df0x · 06.04.2015, 11:06

Хорошо, попробую, могу я ссылку на этот пост приложить?

safety · 06.04.2015, 11:07

да, можете, если запросит техподдержка, или на форуме.

06.04.2015, 08:39	#1
s3df0x Новичок Регистрация: 17.01.2013 Сообщений: 120 Репутация: 0	Появились файлы вида "160-фев.xls.id-4229639946_maxcrypt@foxmail2" В общем в локальной сети организации есть "Сервер" с расшаренной папкой, для обмена файлами. с 03.04.15 там начали появлятся файлы взамен тех которые были с припиской .id-4229639946_maxcrypt@foxmail2.com, предположительно в сети на одном из компьютеров завелся вирус. На том компьютере с расшаренной папкой стоит Windows Server 2008. Даже не знаю с чего начинать копать? отключил доступ к изменению файлов по сети на сервере как определить с какого компьютера производится переименовывание файлов и их криптация? файл пример http://rghost.ru/8t8vrxGJw Последний раз редактировалось s3df0x; 06.04.2015 в 09:00.

06.04.2015, 09:31	#4
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	сервер виндовый? сколько примерно сейчас пользователей работает? посмотрите по дате и времени начало шифрования файлов, когда все началось, и примерно даты входа пользователей на сервер... через просмотр событий --------- мы практикуем подобные папки для обменов обнулять раз в неделю, чтобы не привыкали там что-то важное хранить. обмен есть обмен. Последний раз редактировалось safety; 06.04.2015 в 09:41.

06.04.2015, 10:29	#10
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	1. по очистке системы: выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.14 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\5DD.TMP addsgn 925277FA166AC1CC0B64524E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BB980503E021E8A2FD3EC104D1249ACFE1CEC21051DB32F2D75A4BF5796B2E3 14 Spy.Eye addsgn 925277FA166AC1CC0B64524E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B4391523E021E8A2FD3EC21521449ACFE1CEC21051DB32F2D75A4BF5796B2E3 64 Trojan-Ransom.Win32.Crypren.vhs addsgn 4A30F0DD553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3A9EAB728164C70939330A85CC82F8DC5D60F819EBDCC8E7D80ED0DD0DD 8 Win32/Filecoder.DG [ESET-NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\SVCHOST.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MAXCRYPT.BMP delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MAXCRYPT.BMP delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\5DD.TMP delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\SVCHOST.EXE czoo restart перезагрузка, пишем о старых и новых проблемах. архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru ---------- этот же архив можно и в ДрВеб отправить, раз пропущен шифратор. 2. по расшифровке. в таком случае вы можете обратиться к ним с запросом на расшифровку этого варианта шифратора. бесплатно, поскольку являетесь их лицензионными пользователями.

06.04.2015, 11:00	#13
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	по поводу 48 часов на понт конечно берет, или - или. подождите ответ от ДрВеба. можно так же написать у них на форуме Мартьянову Владимиру, если оперативно не ответят. http://forum.drweb.com/index.php?showforum=35 Последний раз редактировалось safety; 06.04.2015 в 14:09.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Как "заставить" Win7 понимать ".mkv"-файлы?	Kirilltravykyril	Windows 7	19	27.08.2011 21:31
Ссылки утилитна тему-Забанили на сайтах "ВКОНТАКТЕ","Mail.ru","Google" и т.д	Flatik	Безопасность	2	22.06.2011 19:38
НЕ работает кнопка "Перезагрузка", остальные "Ждущий режим"\"Выкл." в норме.	Мириам	Windows XP	0	24.03.2010 13:11
какая программа открывает файлы с расширением "z0" "z01"	karangor	Утилиты	1	27.10.2009 00:47
Не могу открыть файлы "MDF" и "MDS"	Jon	Программы	2	09.09.2009 03:11

06.04.2015, 09:04	#2
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	проверьте свойства зашифрованного файла, кто является его владельцем плюс методом исключений, если немного компов в сети определить зараженный комп. или если есть удаленный доступ к этим компам, тогда просмотреть список процессов - шифратор там должен сразу броситься в глаза. Какое нибудь длинное наименование документа, типа судебная повестка...... exe --------- судя по имени зашифрованного файла - это encoder.741, так что по расшифровке ваш случай не безнадежен. вот примеры шифраторов.741 Архивная документация о привлечении в качестве свидетеля по гражданскому делу №72971.vexe Судебная повестка по гражданскому делу №18244.vexe Судебная повестка по гражданскому делу №17695.Vexe -------- можно так же обзвонить пользователей на предмет, кто из них мог открыть подобный документ в почте.

06.04.2015, 09:21	#3
s3df0x Новичок Регистрация: 17.01.2013 Сообщений: 120 Репутация: 0	Компьютеров много около 40-45, в свойствах переименнованных файлов владелец "Гость". Гостевая включена на сервере. Я уже сейчас представляю сколько будет шуму с этими файлами. У всех отделов там важная информация, хотя всех предупреждали что это папка для обмена а не для хранения. Но это ладно это наши уже проблемы. А есть ли возможность посмотреть в логах сервера с каких компьютеров производилось переименование файлов?

06.04.2015, 09:39	#5
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	централизованное управление антивирусами есть? если есть, запустите задачу сканирования на всех компах. + конечно, логическим путем определяйте зараженный комп.

06.04.2015, 09:50	#6
s3df0x Новичок Регистрация: 17.01.2013 Сообщений: 120 Репутация: 0	Сервер на Windows 2008 у некоторых файлов неверная дата стоит еще за 2002 год. Непонятная ситуация, либо на компьютере с которого файлы криптовались, неправильное время, либо что то другое скриншот Еще усугубляет то что на сервере стоит Usergate ---------- Добавлено в 08:47 ---------- Предыдущее сообщение было написано в 08:45 ---------- Компьютер вероятно найден, на нем все файлы имееют такое имя... интересно, он 1 в сети или нет( ---------- Добавлено в 08:50 ---------- Предыдущее сообщение было написано в 08:47 ---------- Еще я написал на почту злоумышленника, "Что он хочет" ответ был следующим 200$

06.04.2015, 10:02	#7
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	если на сервере в папке обмена у всех зашифрованных одинаковый id .id-4229639946 значит шифрование шло только с одной машины. в данном случае id однозначно указывает на ту машину, которая показана на скриншоте. --------------- по расшифровке есть вариант обратиться в ДрВеб, у них было решение по расшифровке encoder.741 так что по затратам это будет дешевле чем 200$, всего лишь приобрести лицензию ДрВеба.

06.04.2015, 10:11	#8
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	+ если есть возможность, сделайте образ автозапуска на зараженной машине, поищем тело шифратора.

06.04.2015, 10:24	#9
s3df0x Новичок Регистрация: 17.01.2013 Сообщений: 120 Репутация: 0	уже делаю, у нас куплен dr web ---------- Добавлено в 09:17 ---------- Предыдущее сообщение было написано в 09:16 ---------- и он стоит на той машине с которой идет заражение ---------- Добавлено в 09:19 ---------- Предыдущее сообщение было написано в 09:17 ---------- Логи зараженного компьютера ---------- Добавлено в 09:21 ---------- Предыдущее сообщение было написано в 09:19 ---------- Логи делал ч/з удаленный доступ с исп. LiteManager ---------- Добавлено в 09:24 ---------- Предыдущее сообщение было написано в 09:21 ---------- В автозагрузке там есть файл maxcrypt.bmp видимо это он

06.04.2015, 10:32	#11
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	шифратор скорее всего этот файл %SystemDrive%\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\SVCHOST.EXE https://www.virustotal.com/ru/file/f...4c60/analysis/ ESET-NOD32 Win32/Filecoder.DG он уже отработал, раз вывешена заставка. в автозапуске его нет. ----------- темп не стал пока чистить, возможно что-то еще запросят в ДрВеб, если возьмутся за расшифровку. maxcrypt.bmp - это файл заставки на рабочий стол, просто картинка.

06.04.2015, 10:54	#12
s3df0x Новичок Регистрация: 17.01.2013 Сообщений: 120 Репутация: 0	Скриншот раз) Отправил запрос в службу поддержки Dr.Web, не знаю точно прокатит наш ключ или нет. Жду ответа, это два) Файл вам отправил. Продублирую и в Dr.Web. ---------- Добавлено в 09:53 ---------- Предыдущее сообщение было написано в 09:50 ---------- Даа интересненькое сегодня утро понедельника) ---------- Добавлено в 09:54 ---------- Предыдущее сообщение было написано в 09:53 ---------- Продублировал образ и архив zoo в dr.web

06.04.2015, 11:06	#14
s3df0x Новичок Регистрация: 17.01.2013 Сообщений: 120 Репутация: 0	Хорошо, попробую, могу я ссылку на этот пост приложить?

Ads

06.04.2015, 11:07	#15
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	да, можете, если запросит техподдержка, или на форуме.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)