Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 2k8 R2 - virus - SCARAB

djkaczor 14 Wrz 2017 21:36 441 6
  • #1 14 Wrz 2017 21:36
    djkaczor
    Poziom 11  

    Serwer oparty na Windows Server 2008 R2 64x, pełna wersja antywirusa ESET nie uchroniła przed włamaniem i zainfekowaniem wszystkich plików z działu "httpd" (czyt. publiczny katalog apache z danymi/stronami www)..

    Wiem już, że wirus nazywa się "scarab". Jego działanie polega na zmianie nazwy plików, ich rozszerzenia oraz samego kodowania uniemożliwiając przywrócenie systemu do ostatnio wykonanej kopii wybranej partycji - C.

    Wielokrotne skanowanie systemu eset'em wykryło parę infekcji w efekcie końcowym usuwając. J/w, nie mam możliwości przywrócenia systemu do ostatniej wykonanej kopii. Udało mi się wejść w tryb awaryjny (z dostępem do sieci, czy sam wiersz poleceń z automatu resetuje maszynę po 5sekundach).

    1. Zauważyłem brak katalogu "restore".
    2. Był utworzony użytkownik "tss"
    3. Odnalazłem plik wykonawczy (vss.ini), jego treść:
    #wbadmin DELETE SYSTEMSTATEBACKUP -keepversions:0
    #wmic SHADOWCOPY DELETE
    #vssadmin DELETE Shadows /All /Quiet
    #bcdedit /set {default} recoveryenabled No
    #bcdedit /set {default} bootstatuspolicy ignoreallfailures
    #vssadmin list shadows
    #pause

    Czy ktoś przerabiał temat i zna lekarstwo dla odzyskania danych oraz ew. późniejsze dodatkowe załatanie dziury ?

    0 6
  • #2 14 Wrz 2017 21:44
    Kolobos
    Spec od komputerów

    Moze warto nauczyc sie robic kopie zapasowe (nie przy pomocy narzedzi systemowych) na innych nosnikach i w razie problemow przywracac cala partycje?

    0
  • #3 14 Wrz 2017 22:17
    djkaczor
    Poziom 11  

    Nie takiej odpowiedzi oczekiwalem, mleko rozlane - trzeba posprzatac.

    Niedawno zdechl dysk wraz z raidem, jak na razie skutecznie przez 11 lat bronilem dostepu, az znalazl sie smialek.

    Coz, dalej szukam lekarstwa na odzyskanie danych.

    0
  • #4 15 Wrz 2017 01:16
    Robert B
    Poziom 43  

    djkaczor napisał:
    znalazl sie smialek.

    ... który nazywa się użytkownikiem komputera, bo infekcje nie biorą się same z siebie.
    djkaczor napisał:
    szukam lekarstwa na odzyskanie danych.

    Próbuj, ale szans powodzenia nie wróżę:
    https://sensorstechforum.com/scarab-ransomware-remove-restore-encrypted-files/

    0
  • #5 15 Wrz 2017 07:18
    Kolobos
    Spec od komputerów

    @Robert B strona, ktora podales to reklama szkodliwego SpyHunter. Niczego to nie naprawi ani nie usunie.

    O plikach mozna zapomniec, nie da sie ich odszyfrowac. Mozna probowac programow do przywracania usunietych plikow (dmde itp.) ale efekt rowniez moze byc marny.

    Dlatego tak jak napisalem wczesniej, trzeba robic kopie przy pomocy normalnych programow, na zewnetrznych nosnikach.
    Warto tez nauczyc sie korzystac z komputera i nie infekowac.

    1
  • #6 15 Wrz 2017 10:33
    djkaczor
    Poziom 11  

    @Kolobos - jesli moge prosic, opuść watek. Nie interesuja mnie "Twoje madrosci", a odpowiedz, pomoc czy sugestia w ktorym kierunku isc. W 2 postach nie wniosles absolutnie niczego.

    System nie zostal zainfekowany przez Uzytkownika czy chec korzystania z serwera jako Klient. Powtarzam. Mowimy o serwerze, a nie zabawce w domu. Maszyna zostala zaatakowana prawopodobnie przez luke w smtp. Niestety kompatybilnosc niektorych aplikacji wymusza na mnie utrzymania jej na 2k8, inaczej dawno bym uciekl na CentOs'a!

    Kierunek EasyRecovery. Przywrocenie systemu i tak nic nie da, gdyz pliki zostaly zainfekowane na odrębnej partycji.

    0
  • #7 15 Wrz 2017 10:58
    Kolobos
    Spec od komputerów

    Plikow nie odszyfrujesz i nie odzyskasz, trzeba Ci to jeszcze pare razy napisac zebys zrozumial?

    Mozna probowac programow do odzyskiwania danych o czym sam piszesz, wiec cos tam jednak wnioslo to co napisalem i nawet dotarlo...
    Tyle, ze pliki zapewne zostaly juz dawno nadpisane, tym bardziej, ze nadal uzywasz tego komputera i systemu zamiast po infekcji wylaczyc i probowac odzyskac pliki (najlepiej z obrazu dysku).

    Rozumiem, ze sie denerwujesz przez swoja niekompetencje, zaniedbania i brak odpowiedniej wiedzy, ale nie wyladowuj tego na mnie.
    Wszystko co napisalem wyczerpuje temat, jezeli czegos nie zrozumiales to przeczytaj jeszcze raz to co napisalem.

    Na przyszlosc nauczyc sie robic poprawnie kopie zapasowe, nie mowiac juz o zabezpieczeniu systemu. Nie zrobiles tego, wiec jestes winny infekcji, nigdzie nie napisalem, ze ktos uzywal tego serwera jako klienta.

    1