scarab проблемы с вирусом шифровальщиком

[SQ]

я имею в виду по проблеме вирусной атеке, потому что утром на сервере опять были проблемы, + у меня на сервере все резервные копии убиты, может подскажите, как исправить проблему?

Могли бы по подробнее расказать о них. Вы имеете в виду, что кто-то посторонний подключался? Смотрели ли историю подключения к серверу в событиях (eventlog), если на сервере используется RDP подключения или иные?

 

 

[Сергей fash]

на сервере используется RDP

журнал событий только за сегодня

[SQ]

1) Уточните пожалуйста также когда ставили последний раз обновления Windows Server? Важно, чтобы были установлены все критические обновления особено закрывающие уязвимость SMB.

 

Windows Server 2008 R2 Standard Service Pack 1 (X64) (2012-03-06 13:18:45)

 

2) Насколько можно видеть на сервер открыты порты 475 и 15000, они как-то связанны с 1C?

 

FirewallRules: [{BF07BA3D-3BCE-4B01-A640-299C5187DB5F}] => (Allow) LPort=475

FirewallRules: [{9DE8AF42-97D2-4CD9-A8CB-D2BCD39F1510}] => (Allow) LPort=475

FirewallRules: [{DEBBAB63-B242-44C0-911B-FB57B7487777}] => (Allow) LPort=15000

FirewallRules: [{EA1E73FB-26B1-4EB5-9253-518823409A7E}] => (Allow) LPort=15000

FirewallRules: [{A2E2A313-2A09-4B71-B71D-1EB27363D524}] => (Allow) LPort=15000

3) TeamViewer Вы сами устанавливали?

 

 

 

 

журнал событий только за сегодня

А события logon и logoff тоже только за сегодняшний день?

 

 

Если журналы событий стерты, значит злоумышлинники почистили за собой логи.  Вам необходимо сменить все пароли.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Сергей fash]

1 обновления ставились 10 января 2019

2 1с установлена и работает, порты для нее открыты

 

У нас было официальное обновление обновление 1С после этого начались проблемы, просто других обновлений на сервере не было до понедельника

SERVERNEW_2019-01-22_14-31-08_v4.1.2.7z

[SQ]

У нас было официальное обновление обновление 1С после этого начались проблемы, просто других обновлений на сервере не было до понедельника

А обновление было автоматическим или сотрудники поддержки 1C устанавливали? Если тех. сотрудники 1С, то какова вероятность, что они установили легкий пароль на сервере?

 

P.S. Обратите внимание, я спрашиваю исключительно для того, чтобы понять как злоумышлиннкии подобрали пароль (не для того, чтобы найти крайнего), был ли пароль легким или они использовали какую-то уязвимость.

 

Также согласно отчету [KLAN-9483781135] на сервер было вредоносное ПО категории Trojan-Banker, которое могло отправить злоумышлинникам все пароли:

tsk0000.dta - Trojan-Banker.Win32.CliptoShuffler.c
tsk0000.dta - HEUR:Trojan-Ransom.Win32.Generic

P.S. к сожалению не ясно как долго это вредоносное ПО было у Вас на сервере, так как удаление было до сбора логов.

[Сергей fash]

обновление скачивается с официального сервера, сервер присылает оповещение на несколько ресурсов, (почта и др) обновление с архива устанавливается, от них информации нет о проблемах с взломом или что еще у кого-то проблемы.

просто когда сервер установили его не закрывали сильно

 

мне вот важно как торояна убить, сервер на работу из вне закрою.

просто он где-то в реестре найти не могу

и чтобы расшифровать бызы данных в касперский написал

[SQ]

мне вот важно как торояна убить, сервер на работу из вне закрою.

просто он где-то в реестре найти не могу

В логах я не вижу активной угрозы. Есть только биттые ссылки на обьекты, которых не существуют. На сколько вижу у Вас установлен антивирус от Лаборатории Касперского, он что-то находит, какую-то подозрительную активность?

[Сергей fash]

по тем логам что я вчера видел то проблемы начались 21 января в 2019, в 2:30 по времени сервера

по тем логам что я вчера видел то проблемы начались 21 января в 2019, в 2:30 по времени сервера

[SQ]

 

- Покажите лог TDSSKiller

Файл C:\TDSSKiller.***_log.txt приложите в теме.

(где *** - версия программы, дата и время запуска.)

 

P.S. В случае нахождение какой-то угрозы, самостоятельно не удаляйте.

[Сергей fash]

угроз нет, сейчас идет проверка сервера касперским

 

 

вчерашние логи зашифрованы

 

сейчас прогнал - лог

TDSSKiller.3.1.0.26_22.01.2019_15.17.04_log.txt

[SQ]

В логах чисто, скорее всего у злоумышлинников был пароль на сервер (возможно им помогло, то что на сервере было вредоносное ПО). Вам необходимо сменить все пароли на сервере (желательно и на все, что открывали на сервере, например на почту).

[Сергей fash]

посоветуйте программы для восстановления работы сервера, так как данные о восстановлении не сохранены

[SQ]

К сожалению с восстановление файлов помочь не сможем, так как они зашифрованы. У нас нет решения касаемо указанного шифровальщика.

 

По пробуйте уточнить в тех. поддержки Лаборатории Касперского, что они могут предложить в качестве решения.

 

P.S. Обычно шифровальщики после завершения своего дела удаляют все резервные копии, которые расположены на сервере.

[Сергей fash]

понятно, можете  порекомендовать что-то дополнительно, для проверки сервера, и восстановления функции работы сервера

[SQ]

Вы можете попробовать проверить целостность системных файлов в командной строке (cmd), но лучше если вы создали запрос в тех. поддержку дождаться их рекомендации.

sfc /scannow