Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Mocno spowolniona sieć, wirusy, włamanie do komputera

norek1991 19 Lis 2015 11:15 1161 5
  • #1 19 Lis 2015 11:15
    norek1991
    Poziom 19  

    Zacznę od początku, wczoraj zauważyłem, że internet w firmie bardzo mocno spowolnił (z 25Mb/s do ok 2Mb/s). Zadzwoniłem więc do dostawcy zgłosić problem, w odpowiedzi dowiedziałem się, że ktoś korzysta z sieci P2P, więc rozpocząłem śledztwo.
    Pierwszym etapem było odpięcie wszystkich od sieci i sprawdzenie prędkości łącza, moim laptopem, którego uważałem za czystego. I jak ręką odjął internet znowu przyspieszył. Postanowiłem więc zainstalować sobie wiresharka (słabo znam to narzędzie ale pozwoliło mi ono wyciągnąć wnioski konieczne do dalszego działania) okazało się, że jeden z komputerów w sieci bardzo intensywnie odpytuje ruskie serwery. Postanowiłem więc zająć się tym komputerem. Uruchomiłem systemowy monitor zasobów i w zakładce sieć znalazłem aplikację Joom_Brute, która właśnie to robi. Znalazłem ją na pulpicie na koncie jednego z użytkowników. Zalogowałem się na to konto, przeskanowałem programem Malwarebytes, który wyszukał tylko svhost.exe. Następnie przeglądając historię w Chrome zauważyłem, że zalogowany jest do konta nigdy nie używanego przez nikogo u nas w firmie (sarkowiczd@gmail.com), a w historii była masa stron typu zakłady bukmacherskie. W tym momencie ktoś zabrał mi myszkę i uruchomił z pulpitu aplikację, która odpytywała te ruskie serwery.
    W tym momencie zostałem wylogowany. Odpiąłem więc komputer od sieci, i uruchomiłem combofixa (wiem lepiej było by FRST ale w ferworze walki o tym zapomniałem)
    Co po za zmianą adresu IP, oraz haseł kont użytkowników mogę zrobić, żeby zabezpieczyć kompa, przed kolejnym wejściem na niego? Czy z logów wiresharka mogę jakoś sprawdzić, jaką drogą ten ktoś się dostał? Jeśli trzeba mogę załączyć logi z wireshark, combofix oraz zrzuty ekranowe.

    Z góry dziękuję za odpowiedź.

    0 5
  • #2 19 Lis 2015 12:46
    Kolobos
    Spec od komputerów

    Zamiesc logi z FRST.

    Dostal sie pewnie tak jak zwykle, uzytkownik sciagnal i uruchomil zainfekowany plik dajac dostep atakujacemu.

    0
  • #3 19 Lis 2015 13:44
    norek1991
    Poziom 19  

    Dokładam jeszcze combofixa, który uruchomiony był przed frst. Ponadto usunąłem ręcznie:

    Foldery: testers3, RPKTools, Tools (na zrzutach)

    Mocno spowolniona sieć, wirusy, włamanie do komputera Mocno spowolniona sieć, wirusy, włamanie do komputera Mocno spowolniona sieć, wirusy, włamanie do komputera Mocno spowolniona sieć, wirusy, włamanie do komputera )
    Pliki: testers3.zip, HOW TO DECRYPT FILES.txt.LOL!, how to get data.txt

    oraz: C:\Users\HolidaysInn utworzony dzień przed "testers3".

    Nikt z nas nie korzysta z tego kompa,(jest serwerem plików) a tym bardziej z konta na które został ściągnięty program do wysyłania zapytań na te rosyjskie serwery)

    0
  • #4 19 Lis 2015 15:06
    Kolobos
    Spec od komputerów

    Masz zaszyfrowane pliki, nie ma sensu teraz myslec o tym kto i jak zainfekowal ten system. Wykonaj reinstalacje systemu, plikow i tak nie odszyfrujesz.

    0
  • #5 19 Lis 2015 15:45
    norek1991
    Poziom 19  

    Na szczęście tylko, na dwóch kontach użytkowników zaszyfrowało, na pozostałych są wklejone te pliki : HOW TO DECRYPT FILES.txt.LOL!, how to get data.txt ale pozostałe pliki nie są zaszyfrowane. Chyba zacząłem dzisiaj działać w ostatniej chwili, lub ta aplikacja szyfrująca nie spełniła swojego zadania :) Komp po skopiowaniu ważnych danych zostanie sformatowany. Czym najlepiej przeskanować pliki przed wgraniem ich ponownie na dysk?

    Mam jeszcze pytanie o pozostałe komputery w sieci bo jak na razie skanowanie nic nie wykryło, ale na tym malwarebytes też wszystkiego nie wykrył czy istnieje jakieś ryzyko, że inne też mogą być zainfekowane przez niego i ktoś mógł uzyskać dostęp np. do danych kont bankowych na innych komputerach?

    0
  • #6 20 Lis 2015 19:29
    Kolobos
    Spec od komputerów

    Najlepiej wszystko przeskanowac np. przy pomocy Dr.Web Cureit.

    Ryzyko zawsze zawsze istnieje, ale ciezko zgadywac, co ktos zrobil, a czego nie.

    0