Перейти к содержанию

проблемы с вирусом шифровальщиком


Рекомендуемые сообщения

я имею в виду по проблеме вирусной атеке, потому что утром на сервере опять были проблемы, + у меня на сервере все резервные копии убиты, может подскажите, как исправить проблему?

Могли бы по подробнее расказать о них. Вы имеете в виду, что кто-то посторонний подключался? Смотрели ли историю подключения к серверу в событиях (eventlog), если на сервере используется RDP подключения или иные?

 

 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 32
  • Created
  • Последний ответ

Top Posters In This Topic

1) Уточните пожалуйста также когда ставили последний раз обновления Windows Server? Важно, чтобы были установлены все критические обновления особено закрывающие уязвимость SMB.

 

Windows Server 2008 R2 Standard Service Pack 1 (X64) (2012-03-06 13:18:45)

 

2) Насколько можно видеть на сервер открыты порты 475 и 15000, они как-то связанны с 1C?

 

FirewallRules: [{BF07BA3D-3BCE-4B01-A640-299C5187DB5F}] => (Allow) LPort=475

FirewallRules: [{9DE8AF42-97D2-4CD9-A8CB-D2BCD39F1510}] => (Allow) LPort=475

FirewallRules: [{DEBBAB63-B242-44C0-911B-FB57B7487777}] => (Allow) LPort=15000

FirewallRules: [{EA1E73FB-26B1-4EB5-9253-518823409A7E}] => (Allow) LPort=15000

FirewallRules: [{A2E2A313-2A09-4B71-B71D-1EB27363D524}] => (Allow) LPort=15000

3) TeamViewer Вы сами устанавливали?

 

 

 

 

журнал событий только за сегодня

А события logon и logoff тоже только за сегодняшний день?

 

 

Если журналы событий стерты, значит злоумышлинники почистили за собой логи.  Вам необходимо сменить все пароли.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Ссылка на сообщение
Поделиться на другие сайты

1 обновления ставились 10 января 2019

2 1с установлена и работает, порты для нее открыты

 

У нас было официальное обновление обновление 1С после этого начались проблемы, просто других обновлений на сервере не было до понедельника

SERVERNEW_2019-01-22_14-31-08_v4.1.2.7z

Ссылка на сообщение
Поделиться на другие сайты

У нас было официальное обновление обновление 1С после этого начались проблемы, просто других обновлений на сервере не было до понедельника

А обновление было автоматическим или сотрудники поддержки 1C устанавливали? Если тех. сотрудники 1С, то какова вероятность, что они установили легкий пароль на сервере?

 

P.S. Обратите внимание, я спрашиваю исключительно для того, чтобы понять как злоумышлиннкии подобрали пароль (не для того, чтобы найти крайнего), был ли пароль легким или они использовали какую-то уязвимость.

 

Также согласно отчету [KLAN-9483781135] на сервер было вредоносное ПО категории Trojan-Banker, которое могло отправить злоумышлинникам все пароли:

tsk0000.dta - Trojan-Banker.Win32.CliptoShuffler.c
tsk0000.dta - HEUR:Trojan-Ransom.Win32.Generic
P.S. к сожалению не ясно как долго это вредоносное ПО было у Вас на сервере, так как удаление было до сбора логов.
Ссылка на сообщение
Поделиться на другие сайты

обновление скачивается с официального сервера, сервер присылает оповещение на несколько ресурсов, (почта и др) обновление с архива устанавливается, от них информации нет о проблемах с взломом или что еще у кого-то проблемы.

просто когда сервер установили его не закрывали сильно

 

мне вот важно как торояна убить, сервер на работу из вне закрою.

просто он где-то в реестре найти не могу

и чтобы расшифровать бызы данных в касперский написал

Ссылка на сообщение
Поделиться на другие сайты

мне вот важно как торояна убить, сервер на работу из вне закрою.

просто он где-то в реестре найти не могу

В логах я не вижу активной угрозы. Есть только биттые ссылки на обьекты, которых не существуют. На сколько вижу у Вас установлен антивирус от Лаборатории Касперского, он что-то находит, какую-то подозрительную активность?
Ссылка на сообщение
Поделиться на другие сайты

по тем логам что я вчера видел то проблемы начались 21 января в 2019, в 2:30 по времени сервера


по тем логам что я вчера видел то проблемы начались 21 января в 2019, в 2:30 по времени сервера

Ссылка на сообщение
Поделиться на другие сайты

 

- Покажите лог TDSSKiller

Файл C:\TDSSKiller.***_log.txt приложите в теме.

(где *** - версия программы, дата и время запуска.)

 

P.S. В случае нахождение какой-то угрозы, самостоятельно не удаляйте.

Ссылка на сообщение
Поделиться на другие сайты

угроз нет, сейчас идет проверка сервера касперским

 

 

вчерашние логи зашифрованы

 

сейчас прогнал - лог

TDSSKiller.3.1.0.26_22.01.2019_15.17.04_log.txt

Ссылка на сообщение
Поделиться на другие сайты

В логах чисто, скорее всего у злоумышлинников был пароль на сервер (возможно им помогло, то что на сервере было вредоносное ПО). Вам необходимо сменить все пароли на сервере (желательно и на все, что открывали на сервере, например на почту).

Ссылка на сообщение
Поделиться на другие сайты

К сожалению с восстановление файлов помочь не сможем, так как они зашифрованы. У нас нет решения касаемо указанного шифровальщика.

 

По пробуйте уточнить в тех. поддержки Лаборатории Касперского, что они могут предложить в качестве решения.

 

P.S. Обычно шифровальщики после завершения своего дела удаляют все резервные копии, которые расположены на сервере.

Ссылка на сообщение
Поделиться на другие сайты

понятно, можете  порекомендовать что-то дополнительно, для проверки сервера, и восстановления функции работы сервера

Ссылка на сообщение
Поделиться на другие сайты

Вы можете попробовать проверить целостность системных файлов в командной строке (cmd), но лучше если вы создали запрос в тех. поддержку дождаться их рекомендации.

sfc /scannow
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...