Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Pliki RecOveR na serwerze danych

arek16

Przez arek16
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

arek16, zasady działu, tu nie wolno się podczepiać pod cudze tematy, chaos dyskusyjny: KLIK. Wydzielam w osobny. Pomimo że ta sama infekcja, Twój problem jest inny, gdyż chodzi o serwer danych. Jaki typ serwera, czy to komputer źródłowy infekcji, czy tylko dysk który był dostępny podczas infekcji z poziomu innego komputera? W pierwszym przypadku potrzebne raporty z FRST (FRST da się uruchomić na Windows Server), by ocenić czy infekcja jest aktywna. Jeśli nie był to jednak komputer źródłowy, tzn. dysk serwera był po prostu dostępny dla zewnętrznego procesu infekcji, analiza zjawiska nie zostanie tu wykonana, bo brak narzędzi. Sprzątanie będziesz musiał przeprowadzić samodzielnie. A z zaszyfrowanymi danymi nic nie jestem w stanie zrobić.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W raportach nie widać żadnych oznak tej infekcji, czyli tu klaruje się teoria, że jeden z komputerów klienckich był źródłem. A te wszystkie ostrzeżenia w logu do zignorowania (FRST nie ma białej listy dopasowej do systemów serwerowych).

 

zarażone kilka katalogów (źródłem najprawdopodobniej jedna z końcówek - PC kliencki)

Pliki zablokowane znajdują się w katalogach podmapowanych do pc pracowników.

Czyli jak mówiłam, należy samodzielnie ręcznie wyczyścić z poziomu serwera to co dla Ciebie jest dostępne do czyszczenia (wtórnie dodane pliki typu {RecOveR}* i inne śmieci). Natomiast jest tu problem innego typu, czyli detekcja który komputer kliencki był źródłem, gdyż to ten komputer musi zostać dogłębnie sprawdzony i ewentualnie wyczyszczony z ewentualnie aktywnej infekcji.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

problem leży na serwerze. foldery nieudostępnione są zarażone

Nic tu nie wskazuje, że serwer jest źródłem, nie ma żadnych śladów tej infekcji (ani elementów startowych, ani przejęcia klas, ani nawet plików {RecOveR}* w podstawowych folderach serwera per se). I mówisz wyraźnie, że tylko kilka katalogów wykazuje cechy infekcyjne. Jaki jest problem z ręcznym wyczyszczeniem tych katalogów?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Co to za aplikacja? Powtarzam: w starcie tu pokazanego w raporcie serwera nie ma reloadera, nie ma żadnego czynnego elementu który może wykonywać szyfrowanie po stronie serwera. Jeśli jakieś elementy tego serwera są atakowane, źródłem jest inny komputer (który ma częściowy dostęp, widzi dysk serwera) i on musi być wytypowany. Nie jestem w stanie wyczyścić infekcji której w ogóle nie widać, muszę mieć wykaz z faktycznego źródła.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jeśli chodzi o pokazane tu skany z komputerów klienckich, to w nich również nie ma jawnych oznak aktywnej infekcji (brak jej elementów startowych), choć na obu systemach widać, że podlegały one procesowi szyfrowania, gdyż są notatki ransom. Przy czym, to drugie stanowisko pokazane dziś sugeruje, że jest źródłem - figuruje ukryty plik symulujący komponent Microsoftu:

 

2016-04-08 08:22 - 2016-04-08 08:22 - 00227316 ____H (Microsoft Corporation) C:\Documents and Settings\uzytkownik1\Moje dokumenty\oiagiygemthq.exe

 

Problem z widocznością aktywności infekcji może tu polegać na kontekście konta z którego robisz skan. Na drugim stanowisku skan FRST został zrobiony z poziomu wbudowanego Administratora, a nie konta użytkownika uzytkownik1.

 

Skrypty doczyszczające dla tych stanowisk:

 

 

STANOWISKO 1:

 

Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload
Task: C:\WINDOWS\Tasks\RegCure Program Check.job => C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exeShowReminders4C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe 
Task: C:\WINDOWS\Tasks\RegCure Startup.job => C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe-Tray4C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe 
Task: C:\WINDOWS\Tasks\RegCure.job => C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe-t4C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe 
DomainProfile\AuthorizedApplications: [C:\Program Files\Orbitdownloader\orbitnet.exe] => Enabled:P2P service of Orbit Downloader
DomainProfile\AuthorizedApplications: [C:\Documents and Settings\pbrek\Ustawienia lokalne\Temp\~osB.tmp\rlvknlg.exe] => Enabled:rlvknlg.exe
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
HKU\S-1-5-21-3125558812-1384495094-3903194841-1005\...\RunOnce: [NeroHomeFirstStart] => "C:\Program Files\Common Files\Nero\Lib\NMFirstStart.exe"
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
CHR HKLM\...\Chrome\Extension: [gkjoindjjcmbdpbfppabdgflnkgbbcli] - C:\Program Files\FTDownloader.com\FTDownloader10.crx 
CHR HKLM\...\Chrome\Extension: [pfmopbbadnfoelckkcmjjeaaegjpjjbk] - C:\Program Files\Gophoto.it\gophotoit14.crx [2012-07-31]
S2 DockLoginService; C:\Program Files\Dell\DellDock\DockLogin.exe [X]
S2 RoxLiveShare9; "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe" [X]
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
S3 stllssvr; "C:\Program Files\Common Files\SureThing Shared\stllssvr.exe" [X]
S3 EST_BusEnum; system32\DRIVERS\GenBus.sys [X]
S3 NUServerXP32; system32\DRIVERS\NUServerXP32.sys [X]
S3 NUS_BusXP32; system32\DRIVERS\NUS_BusXP32.sys [X]
S3 RimUsb; System32\Drivers\RimUsb.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 WDC_SAM; system32\DRIVERS\wdcsam.sys [X]
AlternateDataStreams: C:\WINDOWS:054AB575DD603D93 [50]
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\~0
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP
RemoveDirectory: C:\Program Files\Gophoto.it
CMD: attrib -r -h -s C:\-!RecOveR!* /s
CMD: del /q /s C:\-!RecOveR!*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w tym samym folderze skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić restart. Skrypt może się długo wykonywać, ze względu na rekursywne usuwanie plików ransom. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

 

STANOWISKO 2:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:



CreateRestorePoint:



C:\Documents and Settings\uzytkownik1\Moje dokumenty\oiagiygemthq.exe



C:\Documents and Settings\uzytkownik1\Moje dokumenty\desctop.ini



CMD: attrib -r -h -s C:\-!RecOveR!* /s



CMD: attrib -r -h -s D:\-!RecOveR!* /s



CMD: del /q /s C:\-!RecOveR!*



CMD: del /q /s D:\-!RecOveR!*



EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Tak samo jak wyżej.

 

2. Skan FRST był wykonywany w następującym środowisku:

 

Załadowane profile: Administrator (Dostępne profile: user1 & Administrator & rgrzegorczyk & uzytkownik1 & handlowiec & Administrator)

 

Jeśli to możliwe, podaj skan FRST z konta uzytkownik1. Przypuszczalnie to właśnie na nim jest wpis startowy infekcji pasujący do pliku oiagiygemthq.exe. I w podobny sposób należałoby sprawdzić wszystkie konta po kolei...

 

 

Oba pliki fixlog.txt mogą być ogromne. W takim przypadku shostuj gdzieś i podaj do nich linki.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Na STANOWISKU 1 jest zainstalowany McAfee LiveSafe - tak w ramach dopełnienia informacji.

Tak, wiem to z raportów FRST. Kwestia zainstalowanych programów będzie omówiona potem. Stanowiska mają strasznie stare niebezpieczne wersje Adobe i Java. Exploity Adobe to jedna z dróg tej infekcji szyfrującej dane i koniecznym będzie aktualizacja aplikacji.

 

PS. Zaktualizowałam oba skrypty. Przeoczyłam jedną gwiazdkę w maskach usuwania plików ransom.

Odnośnik do komentarza
  • 1 miesiąc temu...
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Dalsze losy serwera nieznane. Ale jeśli chodzi o same zaszyfrowane dane:

 

"Projekt" TeslaCrypt został zamknięty, o dziwo przestępcy upublicznili klucz i w dekoderach TeslaDecoder lub ESET TeslaCrypt decrypter jest już możliwe odkodowanie plików zakodowanych przez TeslaCrypt 3 i 4 (rozszerzenia .xxx, .ttt, .micro, .mp3 lub brak zmiany w rozszerzeniach).

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...