Skocz do zawartości
darcom

Infekcja szyfrująca na windows serwer 2008 r2

Rekomendowane odpowiedzi

Witam.

Na systemie windows serwer 2008 r2 dopadła mnie infekcja szyfrująca wszystkie pliki gdzie w plikach jest wpis - hidebak@protonmail.com - czy można z tym coś podziałać. Serwer jest maszyną zapasową ale jeśli była by możliwość to chciałbym odzyskać pewne pliki.

Obecnie nie można na nim nic zrobić ani nic uruchomić - czy w ogóle z tą infekcją można coś zrobić.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Nawet nie słyszałam o takim wariancie infekcji.

Obecnie firmy antywirusowe zaprzestały całkowicie tworzenia nowych deszyfratorów.

Można co najwyżej próbować dotychczas stworzone dekodery, ale jeśli to nowa wersja infekcji, to żaden deszyfrator nie zadziała.

 

W temacie https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/

 

pod napisem Ogólna lista podzielona wg typu zadań (rozwiń spoiler):

kliknij na "Pokaż ukrytą zawartość"

w sekcji "Ransom - zaszyfrowane pliki"

jest lista różnych narzędzi informacyjnych i różnych dekoderów.

 

Nic poza tym nie da się zrobić.

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Udało mi się uruchomić FRST - logi w załącznikach. Co można z tym zrobić i czy w ogóle można z tym coś zrobić. Fajnie by było ewentualnie pozbyć się czynnej infekcji bym mógł popróbować narzędzia do odszyfrowania - a nóż widelec :)

 

FRST.txt

 

Przenosząc plik wirusa (który widać w logach) na inny komputer to antywirus wykrył go jako Ransom:Win32/Wadhrama.C - może to coś jeszcze pomoże.

Addition.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tu wyleczysz infekcję. Zaszyfrowane pliki dalej zostaną zaszyfrowane.

 

Zidentyfikować wirusa można online, wpisz w wyszukiwarkę "ransomware identifier" czy "id ransom".

 

Kolejno można szukać deszyfratora. W większości wirusy szyfrujące tworzą nowy, zaszyfrowany plik, a plik źródłowy usuwają i zamazują. Jeśli nie zamazały to jest szansa. Można próbować przywrócić skasowane pliki lub skorzystać z ich wcześniejszej wersji np. przez ShadowExplorer.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKLM\...\Run: [C:\Users\RCP\AppData\Roaming\Info.hta] => C:\Users\RCP\AppData\Roaming\Info.hta [13931 2019-02-23] () [Brak podpisu cyfrowego]
C:\Users\RCP\AppData\Roaming\Info.hta
Startup: C:\Users\RCP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1HR843.exe [2019-02-23] () [Brak podpisu cyfrowego]
Startup: C:\Users\RCP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-02-23] () [Brak podpisu cyfrowego]
C:\FILES ENCRYPTED.txt
C:\Windows\system32\Info.hta
C:\Windows\system32\1HR843.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.23\npGoogleUpdate3.dll [Brak pliku]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.23\npGoogleUpdate3.dll [Brak pliku]
S2 cpqvcagent; C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe [X]
S2 FirebirdGuardianDefaultInstance; C:\Program Files (x86)\Firebird\Firebird_1_5\bin\fbguard.exe -s [X]
S3 FirebirdServerDefaultInstance; C:\Program Files (x86)\Firebird\Firebird_1_5\bin\fbserver.exe -s [X]
S3 GoogleChromeElevationService; "C:\Program Files (x86)\Google\Chrome\Application\72.0.3626.119\elevation_service.exe" [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 MSSQL$WPPZPLANTA; "c:\Program Files\Microsoft SQL Server\MSSQL10_50.WPPZPLANTA\MSSQL\Binn\sqlservr.exe" -sWPPZPLANTA [X]
S3 MSSQLFDLauncher$WPPZPLANTA; "c:\Program Files\Microsoft SQL Server\MSSQL10_50.WPPZPLANTA\MSSQL\Binn\fdlauncher.exe" -s MSSQL10_50.WPPZPLANTA [X]
S4 MSSQLServerADHelper100; "c:\Program Files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE" [X]
S3 OpenVPNService; "C:\Program Files\OpenVPN\bin\openvpnserv.exe" [X]
S2 ReportServer$WPPZPLANTA; "c:\Program Files\Microsoft SQL Server\MSRS10_50.WPPZPLANTA\Reporting Services\ReportServer\bin\ReportingServicesService.exe" [X]
S4 SQLAgent$WPPZPLANTA; "c:\Program Files\Microsoft SQL Server\MSSQL10_50.WPPZPLANTA\MSSQL\Binn\SQLAGENT.EXE" -i WPPZPLANTA [X]
S2 SQLWriter; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [X]
S2 TTS2UnisService; "c:\RCP\tts_services\TTS2UNIS\TTS2UNIS_20170531\TTS2Unis.exe" [X]
S2 TTSGenerowanieRaportow; "c:\RCP\tts_services\TTSWSGenerowanieRaportow\TTSGenerowanieRaportow.exe" [X]
S2 TTSUnisService; "c:\RCP\tts_services\TTSUnisService\TTSUnisService.exe" [X]
S2 TTSWindowsService; "c:\RCP\tts_services\TTSWindowsService\TTSWindowsService.exe" [X]
S2 UNIS_FaceServer; C:\Program Files (x86)\UNIS\UNIS_FaceServer.exe [X]
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Jako pierwszy wypróbuj dekoder http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip

 

bo pliki infekcji są takie same, jak Ransomware RAKHNI.

Ale to może być tylko przypadkowa zbieżność, więc ...

 

Infekcja nastąpiła 23 lutego o godzinie 12:45.

Ale raczej trudno będzie ustalić, kto z Użytkowników o tej godzinie używał tego komputera, bo widzę użytkowników jest dużo, więc trudno ustalić, kto z nich otworzył e-maila z wirusem.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Użytkowników jest wielu (choć poprawiłem plik bo ich ilość jest chyba nie istotna a nie bardzo powinno być widać te konta) i raczej wiem kto jest winowajcom choć trudno będzie mi to raczej udowodnić. Prace będę kontynuował jutro od rana bo dzisiaj pora w teren.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Logu z usuwania nie ma bo niestety czyszczenie infekcji nie dobiło i po ponownym uruchomieniu komputera wsio się zaszyfrowało. Koniec końców udało mi się chyba jednak jej pozbyć, zrobiłem jakiś mały pliczek do naprawy i teraz wydaje mi się że infekcja już się nie uruchamia - log z czyszczenia w załączniku.

Co teraz - połączenie do internetu mam, bynajmniej ping z cmd wychodzi. Udało mi się uruchomić jakąś przeglądarkę portable ale już strony żadnej otworzyć nie mogę - biała strona jakby się w ogóle strona nie ładowała.

Choć wchodzę na konto administratora to ładuje mi się profil tymczasowy - jak to naprawić. W rejestrze w ProfileList jest gałąź z profilem administratora ale na końcu ma dopisek .bak - jak go usunę i próbuję się zalogować na nowo to znowu ładuje się profil tymczasowy i pojawia się .bak w rejestrze - co można z tym zrobić.

Chciałbym uruchomić komputer na tyle by popróbować coś z dekoderami - pierwszy zaproponowany nie rozpoznaje plików.

Czy dobrym pomysłem było by zapuszczenie sfc /scannow - czy w ogóle na serwerze to pójdzie?

Fixlog.txt

 

Przeglądarkę udało mi się uruchomić :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Serwer postawiony na nowo, pliki zarchiwizowane - może kiedyś powstanie jakiś dekryptor. Temat do zamknięcia.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...