Вирус на сервере - Страница 8

Wolfil14 · 12.05.2017, 11:17

Все выполнил, ссылки прилагаю

safety · 12.05.2017, 11:50

да, это и есть вредоносный скрипт, через который все подкачивается.

образ сейчас гляну.

судя по образу у вас еще сканер от дрвеб работает.
в образ однако скрипты не попали.
--------------
+
сделайте еще проверку в FRST
+
эту запись надо удалить через autoruns в секции WMI
fuckyoumm2_consumer Script embedded in WMI database Double click to open copy

Wolfil14 · 12.05.2017, 12:20

Все выполнили, вредоносный скрипт удалил

safety · 12.05.2017, 12:50

по логу FRST
проверьте на http://virustotal.com что лежит в корне. добавлен вчера.

Цитата:

2017-05-11 19:54 - 2017-05-11 19:54 - 152082456 _____ C:\n1whqwmy.exe

понятно что это,
утилитка от дрВеб
Действительна, подписано Doctor Web Ltd.
---------------
пока что вроде все проверили.

.

видимо потому и притормаживает сервер, что Cureit еще трудится в системе.

Wolfil14 · 12.05.2017, 12:55

)))
это dr web cure it, я его вчера скачал вечером) он 150 мб не лезет на virus total

Wolfil14 · 12.05.2017, 12:57

Ну тогда все? следим за работой пару дней, выходные правда на носу) так что только в понедельник уже отпишусь?

Огромное спасибо за помощь и старания

P.S. Тормозить стала до проверки, ну посмотрим.
я еще придумал запустить Eset на полную, читал в интернете что его руками надо настраивать, написал по этому поводу в Eset, а они мне выдали:

как настроить данный антивирус на максимальную прозводительность?
В частности как настроить тщательную и автоматическую проверку USB флешек которые вставляют в ПК.
Пусть все это нагрузит ПК, но безопасность важнее на данном этапе.
Компьютеры все мощные: i5 4460 + 8gb + SSD.

Они ответили:
По умолчанию стоит максимальная защита, единственное что указано сканирование съемных носителей по желанию, мы можем переставить на автоматическое сканирование.
Откройте антивирус---F5---Защита от вирусов---Съемные носители---Действие "Автоматическое сканирование устройств"

safety · 12.05.2017, 13:00

да, пока понаблюдаем за темой

.

safety · 13.05.2017, 05:57

и следует готовить систему к более серьезным испытаниям. Таким как атаки шифраторов через незакрытые уязвимости системы

Цитата:

Сегодня, 12 мая 2017 года (примечание:без объявления войны), компании и организации из самых разных стран мира (включая Россию) начали массово сообщать об атаках шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

Впервые вымогатель WCry был обнаружен еще в феврале 2017 года, но тогда он не произвел большого впечатления на специалистов. По сути, до сегодняшнего дня шифровальщик был практически неактивен, но теперь он получил версию 2.0 и использует SMB-эксплоит АНБ из инструментария, опубликованного ранее хакерской группой The Shadow Brokers.

https://xakep.ru/2017/05/12/wcry-ransomware-apocalypse/

Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage

https://www.bleepingcomputer.com/new...-on-a-rampage/

+

Цитата:

Mitigation and Prevention
Organizations looking to mitigate the risk of becoming compromised should follow the following recommendations:

Ensure all Windows-based systems are fully patched. At a very minimum, ensure Microsoft bulletin MS17-010 has been applied.
In accordance with known best practices, any organization who has SMB publically accessible via the internet (ports 139, 445) should immediately block inbound traffic.

Additionally, organizations should strongly consider blocking connections to TOR nodes and TOR traffic on network. Known TOR exit nodes are listed within the Security Intelligence feed of ASA Firepower devices. Enabling this to be blacklisted will prevent outbound communications to TOR networks.

In addition to the mitigations listed above, Talos strongly encourages organizations take the following industry-standard recommended best practices to prevent attacks and campaigns like this and similar ones.

Ensure your organization is running an actively supported operating system that receives security updates.
Have effective patch management that deploys security updates to endpoints and other critical parts of your infrastructure in a timely manner.
Run anti-malware software on your system and ensure you regularly receive malware signature updates.
Implement a disaster recovery plan that includes backing up and restoring data from devices that are kept offline. Adversaries frequently target backup mechanisms to limit the possibilities a user may be able to restore their files without paying the ransom.

http://blog.talosintelligence.com/2017/05/wannacry.html
+
как временная мера, потому что возможно хэши поменяются.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bp C:\WINDOWS\MSSECSVC.EXE
bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264
bp C:\PROGRAMDATA\*\TASKSCHE.EXE
bl 84C82835A5D21BBCF75A61706D8AB549 3514368
bp C:\Users\*\DESKTOP\@WANADECRYPTOR@.EXE
bl 7BF2B57F2A205768755C07F238FB32CC 245760
restart

перезагрузка, пишем о старых и новых проблемах.
------------

Wolfil14 · 14.05.2017, 17:17

Спасибо за то, что не забываете))
На выходные уезжал, снова извиняюсь, что не мог ответить.
Кончилась проверка dr web cure it.
Ничего найдено не было. Работает вроде бы все хорошо)
Скрипт выполнил, может его стоит выполнить на всех ПК?

safety · 15.05.2017, 03:01

я думаю, в первую очередь надо установить рекомендованные патчи.

12.05.2017, 11:50	#72 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	да, это и есть вредоносный скрипт, через который все подкачивается. образ сейчас гляну. судя по образу у вас еще сканер от дрвеб работает. в образ однако скрипты не попали. -------------- + сделайте еще проверку в FRST + эту запись надо удалить через autoruns в секции WMI fuckyoumm2_consumer Script embedded in WMI database Double click to open copy

12.05.2017, 12:55	#75 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	))) это dr web cure it, я его вчера скачал вечером) он 150 мб не лезет на virus total

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

12.05.2017, 12:57	#76 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Ну тогда все? следим за работой пару дней, выходные правда на носу) так что только в понедельник уже отпишусь? Огромное спасибо за помощь и старания P.S. Тормозить стала до проверки, ну посмотрим. я еще придумал запустить Eset на полную, читал в интернете что его руками надо настраивать, написал по этому поводу в Eset, а они мне выдали: как настроить данный антивирус на максимальную прозводительность? В частности как настроить тщательную и автоматическую проверку USB флешек которые вставляют в ПК. Пусть все это нагрузит ПК, но безопасность важнее на данном этапе. Компьютеры все мощные: i5 4460 + 8gb + SSD. Они ответили: По умолчанию стоит максимальная защита, единственное что указано сканирование съемных носителей по желанию, мы можем переставить на автоматическое сканирование. Откройте антивирус---F5---Защита от вирусов---Съемные носители---Действие "Автоматическое сканирование устройств"

12.05.2017, 13:00	#77 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	да, пока понаблюдаем за темой .

14.05.2017, 17:17	#79 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Спасибо за то, что не забываете)) На выходные уезжал, снова извиняюсь, что не мог ответить. Кончилась проверка dr web cure it. Ничего найдено не было. Работает вроде бы все хорошо) Скрипт выполнил, может его стоит выполнить на всех ПК?

15.05.2017, 03:01	#80 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	я думаю, в первую очередь надо установить рекомендованные патчи.