darcom Opublikowano 25 Lutego 2019 Zgłoś Udostępnij Opublikowano 25 Lutego 2019 Witam. Na systemie windows serwer 2008 r2 dopadła mnie infekcja szyfrująca wszystkie pliki gdzie w plikach jest wpis - hidebak@protonmail.com - czy można z tym coś podziałać. Serwer jest maszyną zapasową ale jeśli była by możliwość to chciałbym odzyskać pewne pliki. Obecnie nie można na nim nic zrobić ani nic uruchomić - czy w ogóle z tą infekcją można coś zrobić. Odnośnik do komentarza
jessica Opublikowano 25 Lutego 2019 Zgłoś Udostępnij Opublikowano 25 Lutego 2019 Nawet nie słyszałam o takim wariancie infekcji. Obecnie firmy antywirusowe zaprzestały całkowicie tworzenia nowych deszyfratorów. Można co najwyżej próbować dotychczas stworzone dekodery, ale jeśli to nowa wersja infekcji, to żaden deszyfrator nie zadziała. W temacie https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/ pod napisem Ogólna lista podzielona wg typu zadań (rozwiń spoiler): kliknij na "Pokaż ukrytą zawartość" w sekcji "Ransom - zaszyfrowane pliki" jest lista różnych narzędzi informacyjnych i różnych dekoderów. Nic poza tym nie da się zrobić. jessi Odnośnik do komentarza
darcom Opublikowano 26 Lutego 2019 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2019 Udało mi się uruchomić FRST - logi w załącznikach. Co można z tym zrobić i czy w ogóle można z tym coś zrobić. Fajnie by było ewentualnie pozbyć się czynnej infekcji bym mógł popróbować narzędzia do odszyfrowania - a nóż widelec :) FRST.txt Przenosząc plik wirusa (który widać w logach) na inny komputer to antywirus wykrył go jako Ransom:Win32/Wadhrama.C - może to coś jeszcze pomoże. Addition.txt Odnośnik do komentarza
Krzesimierz Opublikowano 26 Lutego 2019 Zgłoś Udostępnij Opublikowano 26 Lutego 2019 Tu wyleczysz infekcję. Zaszyfrowane pliki dalej zostaną zaszyfrowane. Zidentyfikować wirusa można online, wpisz w wyszukiwarkę "ransomware identifier" czy "id ransom". Kolejno można szukać deszyfratora. W większości wirusy szyfrujące tworzą nowy, zaszyfrowany plik, a plik źródłowy usuwają i zamazują. Jeśli nie zamazały to jest szansa. Można próbować przywrócić skasowane pliki lub skorzystać z ich wcześniejszej wersji np. przez ShadowExplorer. Odnośnik do komentarza
jessica Opublikowano 26 Lutego 2019 Zgłoś Udostępnij Opublikowano 26 Lutego 2019 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler HKLM\...\Run: [C:\Users\RCP\AppData\Roaming\Info.hta] => C:\Users\RCP\AppData\Roaming\Info.hta [13931 2019-02-23] () [Brak podpisu cyfrowego] C:\Users\RCP\AppData\Roaming\Info.hta Startup: C:\Users\RCP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1HR843.exe [2019-02-23] () [Brak podpisu cyfrowego] Startup: C:\Users\RCP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-02-23] () [Brak podpisu cyfrowego] C:\FILES ENCRYPTED.txt C:\Windows\system32\Info.hta C:\Windows\system32\1HR843.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.23\npGoogleUpdate3.dll [Brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.23\npGoogleUpdate3.dll [Brak pliku] S2 cpqvcagent; C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe [X] S2 FirebirdGuardianDefaultInstance; C:\Program Files (x86)\Firebird\Firebird_1_5\bin\fbguard.exe -s [X] S3 FirebirdServerDefaultInstance; C:\Program Files (x86)\Firebird\Firebird_1_5\bin\fbserver.exe -s [X] S3 GoogleChromeElevationService; "C:\Program Files (x86)\Google\Chrome\Application\72.0.3626.119\elevation_service.exe" [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 MSSQL$WPPZPLANTA; "c:\Program Files\Microsoft SQL Server\MSSQL10_50.WPPZPLANTA\MSSQL\Binn\sqlservr.exe" -sWPPZPLANTA [X] S3 MSSQLFDLauncher$WPPZPLANTA; "c:\Program Files\Microsoft SQL Server\MSSQL10_50.WPPZPLANTA\MSSQL\Binn\fdlauncher.exe" -s MSSQL10_50.WPPZPLANTA [X] S4 MSSQLServerADHelper100; "c:\Program Files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE" [X] S3 OpenVPNService; "C:\Program Files\OpenVPN\bin\openvpnserv.exe" [X] S2 ReportServer$WPPZPLANTA; "c:\Program Files\Microsoft SQL Server\MSRS10_50.WPPZPLANTA\Reporting Services\ReportServer\bin\ReportingServicesService.exe" [X] S4 SQLAgent$WPPZPLANTA; "c:\Program Files\Microsoft SQL Server\MSSQL10_50.WPPZPLANTA\MSSQL\Binn\SQLAGENT.EXE" -i WPPZPLANTA [X] S2 SQLWriter; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [X] S2 TTS2UnisService; "c:\RCP\tts_services\TTS2UNIS\TTS2UNIS_20170531\TTS2Unis.exe" [X] S2 TTSGenerowanieRaportow; "c:\RCP\tts_services\TTSWSGenerowanieRaportow\TTSGenerowanieRaportow.exe" [X] S2 TTSUnisService; "c:\RCP\tts_services\TTSUnisService\TTSUnisService.exe" [X] S2 TTSWindowsService; "c:\RCP\tts_services\TTSWindowsService\TTSWindowsService.exe" [X] S2 UNIS_FaceServer; C:\Program Files (x86)\UNIS\UNIS_FaceServer.exe [X] EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Jako pierwszy wypróbuj dekoder http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip bo pliki infekcji są takie same, jak Ransomware RAKHNI. Ale to może być tylko przypadkowa zbieżność, więc ... Infekcja nastąpiła 23 lutego o godzinie 12:45. Ale raczej trudno będzie ustalić, kto z Użytkowników o tej godzinie używał tego komputera, bo widzę użytkowników jest dużo, więc trudno ustalić, kto z nich otworzył e-maila z wirusem. jessi Odnośnik do komentarza
darcom Opublikowano 26 Lutego 2019 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2019 Użytkowników jest wielu (choć poprawiłem plik bo ich ilość jest chyba nie istotna a nie bardzo powinno być widać te konta) i raczej wiem kto jest winowajcom choć trudno będzie mi to raczej udowodnić. Prace będę kontynuował jutro od rana bo dzisiaj pora w teren. Odnośnik do komentarza
darcom Opublikowano 27 Lutego 2019 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2019 Logu z usuwania nie ma bo niestety czyszczenie infekcji nie dobiło i po ponownym uruchomieniu komputera wsio się zaszyfrowało. Koniec końców udało mi się chyba jednak jej pozbyć, zrobiłem jakiś mały pliczek do naprawy i teraz wydaje mi się że infekcja już się nie uruchamia - log z czyszczenia w załączniku. Co teraz - połączenie do internetu mam, bynajmniej ping z cmd wychodzi. Udało mi się uruchomić jakąś przeglądarkę portable ale już strony żadnej otworzyć nie mogę - biała strona jakby się w ogóle strona nie ładowała. Choć wchodzę na konto administratora to ładuje mi się profil tymczasowy - jak to naprawić. W rejestrze w ProfileList jest gałąź z profilem administratora ale na końcu ma dopisek .bak - jak go usunę i próbuję się zalogować na nowo to znowu ładuje się profil tymczasowy i pojawia się .bak w rejestrze - co można z tym zrobić. Chciałbym uruchomić komputer na tyle by popróbować coś z dekoderami - pierwszy zaproponowany nie rozpoznaje plików. Czy dobrym pomysłem było by zapuszczenie sfc /scannow - czy w ogóle na serwerze to pójdzie? Fixlog.txt Przeglądarkę udało mi się uruchomić :) Odnośnik do komentarza
darcom Opublikowano 5 Marca 2019 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2019 Serwer postawiony na nowo, pliki zarchiwizowane - może kiedyś powstanie jakiś dekryptor. Temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się