Cybertarcza orange - ransomware.locky i zhackowana strona

mozartmozart · 7 Października 2016

Witam.

Jakiś czas temu na komputerach sieci firmowo-domowej cybertarczaorange poinformowała nas o problemie w postaci ransomware.locky, a dzisiaj okazało się, że zhackowana została firmowa strona internetowa. W google pod stroną pojawił się napis:
"Ta witryna mogła paść ofiarą ataku hakerów." Po wejściu na stronę użytkownik przekierowany zostanie na portal pornograficzny.

W skrócie:
1. 2-3 tygodnie temu informacja o ransomware.locky.
2. 3 dni temu przestały mi działać pewne strony, ale restart routera rozwiązał problem.
3. Wczoraj/dzisiaj zhackowano mi stronę - korzystam z program filezilla i zauważyłem, że on automatycznie zapisuje hasło do serwera. Może stąd zhackowana strona, ale jednak jakoś te dane musiały wypłynąć.

Przeskanowałem swój komputer dwoma antywirusami (AVG i F-Secure), które nic nie wykryły. Inne Esetem i też czysto, więc według forumowej instrukcji proszę o sprawdzenie zawartości moich komputerów.

picasso · 8 Października 2016

W żadnym z dostarczonych zestawów nie widać jawnej infekcji malware / trojanami, jedynie na zestawach 1 i 2 są śmieci adware/PUP, co nie powinno się wiązać z żadnym ze zgłaszanych zjawisk.

Wczoraj/dzisiaj zhackowano mi stronę - korzystam z program filezilla i zauważyłem, że on automatycznie zapisuje hasło do serwera. Może stąd zhackowana strona, ale jednak jakoś te dane musiały wypłynąć.

W kwestii FileZilla nic więcej nie zaradzę niż zmienić hasło i wyłączyć zapamiętywanie hasła. Skoro w podanych tu zestawach nie ma oznak infekcji, możliwości są następujące:

- Była wcześniej infekcja zdolna prowadzić takie zadania i w owym momencie przechwyciła hasła. Infekcję dawno usunięto, haseł nie zmieniono, zostały użyte w późniejszym czasie.

- Firmowa sieć, czy to są więc wszystkie komputery które działały pod jej kontrolą? Jeśli nie, to w infekcję i łowienie haseł mógł być zaprzężony całkiem inny komp niż tu przedstawiane, i to z jego poziomu złowiono hasło wprowadzane na innych komputerach. Cytuję z innego tematu, że przejęcie hasła FTP na całkowicie czystym komputerze jest możliwe poprzez nasłuch w sieci:

Dokument PDF opisujący metodologię infekcji iframe: KLIK. Cytuję końcowy fragment:

"Attention! The virus may be listening in (eavesdropping) on bypassing network traffic originating from other computers on the local network (packet sniffing) to steal FTP passwords! This means that you can clean up your PC but if another PC is infected located in the same network segment, the virus can still intercept the passwords you have entered on the clean PC!

Also, be careful with FTP passwords you have saved in the past. The virus may have the potential to extract those saved passwords. Considering the dangers involved it is advisable to login to your FTP server using the SSH over FTP protocol.

Source: KLIK."

+

Cytat z linka:

"As it turned out, the malware steals FTP passwords with network sniffing a.k.a. promiscuous mode (at least among other ways, because I heard it can also read the stored passwords of well-know FTP clients). This means, it even steals the FTP user names and passwords that were used from a clean computer, if that computer was in the same Ethernet collision domain as the infected computer, and the password was actually used (i.e. the user has logged in to an FTP account) when the infected computer was on (and hence eavesdropping). In general, if you have some Ethernet hubs as opposed to Ethernet switches in your LAN, then depending on the exact network topology, possibly not only the infected computer is affected. Needless to say, the infected computer itself is always in its own collision domain, so even if you don't store the passwords in your FTP client (and you shouldn't), the malware still steals the password when you log in. The infected computer sends the stolen FTP credentials (and who knows what else it captured) to its masters, so the computer that will update the index.html-s via FTP (maybe hours, maybe days later) will be some random computer from around the world."

Jeśli chodzi o doczyszczanie śmieci:

ZESTAW 1

1. Odinstaluj adware foxydeal, Optimizer Pro v3.2 oraz firmowe "PUPy" AVG Web TuneUp, McAfee Security Scan Plus. Te instalacje adware wyglądają na uszkodzone / niepełne, w razie problemów z deinstalacją potem je doczyszczę.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer2749.exe [235776 2015-12-15] (MustangService)
R1 StarOpen; C:\Windows\system32\Drivers\StarOpen.sys [5632 2006-07-24] () [brak podpisu cyfrowego]
HKLM\...\Run: [NPSStartup] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1445982696&z=1af9da319f2a64796c6a49cgcz5z8wdtabeo3q4tfq&from=dae&uid=st3250410as_6ry6dn07xxxx6ry6dn07&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1445982696&z=1af9da319f2a64796c6a49cgcz5z8wdtabeo3q4tfq&from=dae&uid=st3250410as_6ry6dn07xxxx6ry6dn07&q={searchTerms}
HKU\S-1-5-21-2696700359-2503137183-1314882984-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE12&ocid=UE12DHP
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-2696700359-2503137183-1314882984-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={E4FE2881-5B5A-4992-988F-41AD1FA2BDEA}&mid=f7e1d75593dd47cd9fcdd1a95adf06da-477740586ab7e2ef46f330033230d3b792368eab&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0716tb&pr=fr&d=2015-05-05 12:49:54&v=4.3.1.831&pid=wtu&sg=&sap=dsp&q={searchTerms}
CustomCLSID: HKU\S-1-5-21-2696700359-2503137183-1314882984-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Adam\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\aw2d3slu.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\40.3.6\\npsitesafety.dll [brak pliku]
DeleteKey: HKLM\SOFTWARE\Google
C:\Program Files\prefs.js
C:\Program Files\Mozilla Firefox\browser\searchplugins
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG\AVG 2015.lnk
C:\ProgramData\F-Secure
C:\ProgramData\TempMoudleSet
C:\Users\Adam\AppData\Local\GG
C:\Users\Adam\AppData\Local\F-Secure
C:\Users\Adam\AppData\Local\FSDART
C:\Users\Adam\AppData\Roaming\GG
C:\Users\Adam\AppData\Roaming\OpenFM
C:\Windows\system32\Drivers\StarOpen.sys
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść Firefox:

Odłącz synchronizację (o ile włączona): KLIK.
Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
Menu Historia > Wyczyść całą historię przeglądania.

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

ZESTAW 2:

1. Odinstaluj adware Browser-Security, bardzo starą niebezpieczną wersję Java 6 Update 11 oraz sponsora instalacji Adobe McAfee Security Scan Plus.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:

CreateRestorePoint:

HKU\S-1-5-21-130948464-2774431362-447049553-1000\...\Run: [safe_urls768] => C:\Users\aaa\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] ()

HKU\S-1-5-21-130948464-2774431362-447049553-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki

S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X]

Task: {CA6EF306-2B07-456F-A73A-033FB8FACA00} - System32\Tasks\{FF82C36F-3F5C-4538-A004-42BAD4754BC3} => Firefox.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar

Task: {DF0D298A-B2F9-40EE-818D-D5745E78C7A8} - System32\Tasks\McAfee Remediation (Prepare) => C:\Program Files\Common Files\AV\McAfee Anti-Virus And Anti-Spyware\upgrade.exe [2016-03-31] (McAfee, Inc.)

C:\Program Files\Common Files\AV\McAfee Anti-Virus And Anti-Spyware

C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox-branding.js

C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox-l10n.js

C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox.js

C:\Program Files (x86)\Mozilla Firefox\defaults\pref\reporter.js

C:\Program Files (x86)\Mozilla Firefox\plugins

C:\Users\aaa\AppData\Roaming\Browser-Security

Hosts:

EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Czyszczenie Firefox wg tych samych kroków co we wcześniejszym secie.

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

ZESTAW 3:

Tutaj prawie nic się nie dzieje. Tylko drobne działania:

1. Odinstaluj Bing Bar, McAfee Security Scan Plus. Zainstaluj IE11, link w przyklejonym: KLIK.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:

CreateRestorePoint:

DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird

S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]

C:\Users\user\AppData\Local\{*}

Hosts:

EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne.

ZESTAW 4:

Jeszcze mniej niż powyżej.

1. Zainstaluj IE11.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:

CreateRestorePoint:

DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird

S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]

S3 gdrv; \??\C:\Windows\gdrv.sys [X]

RemoveDirectory; C:\AdwCleaner

EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne.

mozartmozart · 19 Października 2016

Udało się stronę przywrócić do działania. Nie wiem jak to się stało, ale podejrzewam, że miałem zapisane hasło w kliencie ftp, chociaż mam tę opcję odznaczoną w filezilli.

Problem polega na tym, że znowu tarcza orange poinformowała mnie o problemie w postaci ransomware.locky. Nic z tym nie robiłem oprócz działania polecanego z forum, czyli gmer i frst, więc proszę o ponowne sprawdzenie logów i jak nic nie uległo zmianie to następnym razem nie będę się przejmował tym komunikatem od orange (ewentualnie sprawdzę tylko antywirusem). Na pierwszym komputerze dodatkowo zainstalowałem comodo, a tak bez zmian.