דחוף! וירוס או סוס טרויאני נוראי במחשב שרת סרבר

[שקדיה]

זקוקה לעזרה דחופה ביותר של המקצוענים
יש לנו מחשב שרת סרבר 2008 עם המון חומר
אתמול לחצנו על מייל לא מוכר ומאז כל הקבצים השתגעו
קבצי וורד, אקסל, אקסס האוטלוק וקבצי תמונה קיבלו סיומת נוספת בשם oiyyqyh
והגרוע מכל , גם לאחר הורדת הסיומת הקידוד או מה שזה לא יהיה לא תקין
כלומר הקבצים נפגמו
מדובר בהמון קבצים חשובים מאד!!!
שלחלקם אין גיבוי
דבר נוסף הוא שיש לנו גיבוי פנימי שג"כ נדפקו בו הקבצים
בקיצור.... דפק על דפק הודפקנו

אשמח לכל עזרה

 

[פרסומון]

שיחזור מערכת ניסיתם?

 

[שקדיה]

לא.
מדובר במחשב שרת
ואיש המחשבים שלנו לא בארץ
השאלה מה זה יעזור לקבצים שכבר נדפקו
זה הרי לא משחזר קבצים רק תוכנות.

אגב, עכשיו ממש ניסה ידיד להתחבר לשרת
והוא מצא בתקית המסמכים שלנו את הקובץ המצ"ב (בסיומת BMP)
מה אתם אומרים?

 

[עשרים ושתים]

מדובר בוירוס שמצפין קבצים - הצפנה לא קשה במיוחד (בזמנו פורסם מאמר על כך שהצפנה טובה לוקחת זמן והוירוס רוצה לתקוף במהירות לכן משתמש בשיטת הצפנה שניתנת לפיענוך)
היו לי שני מקרים כאלו אתמול מלקוחות שונים - היה גיבוי והכל ולכן רק פירמטנו את המחשבים והחזרנו את החומר מהגיבוי
בשני המחשבים נוצר תוספת לשם הקובץ באורך של 7 תווים כך שלדעתי זה המפתח להצפנה.

מה שצריך לעשות זה
1 ללמוד לקח- אין דבר כזה שרת בלי גיבוי, ולא פותחים מיילים לא מוכרים
2 להמתין בסבלנות עם החומר סביר להניח שבתוך יום יומים יפורסם איך לשחזר את החומר או איך לשלם לתוקף עבור השחזור.
3 לבדוק האם יש גרסאות קודמות לקבצים. - קליק ימני על התיקיה -מאפיינים-גרסאות קודמות

 

[עשרים ושתים]

לא.
מדובר במחשב שרת
ואיש המחשבים שלנו לא בארץ
השאלה מה זה יעזור לקבצים שכבר נדפקו
זה הרי לא משחזר קבצים רק תוכנות.

אגב, עכשיו ממש ניסה ידיד להתחבר לשרת
והוא מצא בתקית המסמכים שלנו את הקובץ המצ"ב (בסיומת BMP)
מה אתם אומרים?

זה הבקשה לתשלום

 

[שקדיה]

תודה
אין גירסאות קודמות לקבצים כי עד שקלטנו מה קורה סביבנו המחשב כבר דרס את הגירסאות הטובות (הוא מבצע לנו עד 3 גירסאות אחורנית)
בקיצור - גיבוי אין! ואת זה כבר למדנו לקח
(הקטע הוא שאנחנו במשא ומתן עם גיבוי ענן ושלשום סגרנו איתם רק שעדיין לא ביצענו אפילו גיבוי אחד בפועל כי הם היו צריכים לפתוח לנו חשבון ולהסביר לנו כיצד לבצע....)

 

[שקדיה]

הבנתי שזה הבקשה לתשלום
השאלה אם זה אמין והם אכן ישחזרו לנו הכל
או שעדיף כדבריך לחכות כמה ימים

 

[עשרים ושתים]

לא ידוע לי על מקרה שהם קיבול כסף ולא נתנו את הקוד לשחזור
מדברים על כך שהם עשו כבר חצי מיליארד דולר מהוירוס הזה

 

[פרסומון]

יש דרכים להוריד את הוירוס הזה. אל תשלמו לאף אחד כסף.

 

[פרסומון]

כאן למשל:
http://www.remove-pcvirus.com/remove-ctb-locker/

https://www.youtube.com/watch?v=ykHSgedZm0k

https://www.youtube.com/watch?v=G_uYaC7o5DM

 

[עשרים ושתים]

יש דרכים להוריד את הוירוס הזה. אל תשלמו לאף אחד כסף.

הסרת הוירוס לא תחזיר לך את הקבצים המוצפנים.
והיא עלולה למנוע את השחזור שלהם במקרה של בחירה בתשלום הכופר

 

[A JERBI]

כדי שגם לנו לא יקרה. אפשר הסבר איך זה קרה? ממה להמנע?

 

[פרסומון]

הסרת הוירוס לא תחזיר לך את הקבצים המוצפנים.
והיא עלולה למנוע את השחזור שלהם במקרה של בחירה בתשלום הכופר

חיפוש בגוגל יניב לך תוצאות גם איך להחזיר את הקבצים.

 

[עשרים ושתים]

חיפוש בגוגל יניב לך תוצאות גם איך להחזיר את הקבצים.

את גוגל אני מכיר -אבל פתרון לשחזור עדין לא מצאתי

כדי שגם לנו לא יקרה. אפשר הסבר איך זה קרה? ממה להמנע?

נשלחו אתמול לשני לקוחות שלי קובץ word במייל הפרטי ברגע שפתחו את הקובץ כל הקבצים הפרטיים במחשב קיבלו סיומת אחרת והפכו למוצפנים - ובנוסף נוצרו שני קבצים המסבירים איך לשלם כדי לשחרר את ההצפנה

 

[efrat1]

איזה אנשים
מאיזה כתובות הם נשלחו?
ממי להיזהר?

 

[trew]

אני חושב שכל מה שיש להגיד אמרו כבר מעלי
משהו שחשוב לשים לב אליו, אם החלטתם לנסות לשחרר את הקבצים מהצפנה או לנסות לראות איך אתם פותרים את הבעיה הזאת לבד, קודם כל תיצרו העתק של הכונן קשיח אחרת יתכן מאוד והמידע ינעל.
רק בשביל לוודאות ששום תהליך לא מחכה שתעשו את זה את השכפול תעשו ממערכת לינוקס כדי להיות בטוחים שהוירוס לא רץ.

 

[HUBHCBH]

אולי זה קשור לכתה כאן?

להורדת הקובץ חינם כאן

 

[עשרים ושתים]

אולי זה קשור לכתה כאן?

להורדת הקובץ חינם כאן

לא עזר...

 

[3 פינות]

אני הייתי משלם את ה100-200 דולר וזהו, זמן שווה כסף.

 

[copy]

מייל שנשלח אתמול מהאבטחה של ESET

לקוחות ושותפים יקרים,<?xml:namespace prefix = o ns = "urn:schemas-microsoft-comfficeffice" /><o></o>
עדכון חשוב לגבי התפרצות נוספת של תוכנת הכופר ממשפחת Cryptolocker שפגעה (שוב) בעסקים בישראל ב 24 שעות האחרונות:<o></o>
אתמול ה- 19.01.2015 באזור 12 בצהריים התקבלו פניות מלקוחות ושותפים עסקיים על נוזקת CTB-Locker שמצפינה קבצים ודורשת כופר לשחרורם. ההתקפה הנ"ל היא זן חדש שממשיך את גל התקפות הכופר Cryptolocker שהחל לפני שנה וחצי בערך, ותקף עשרות מיליוני עסקים בעולם.<o></o>
איך הנוזקה פעלה?<o></o>

1. הנוזקה הופיעה בתוך קובץ ZIP שצורף לאימייל המתחזה להודעת פקס<o></o>
2. משתמש שפתח את הקובץ המצורף והפעיל אותו – הדביק את המחשב שלו מקומית בלבד (למעט אם ברגע ההדבקה, תיקיות משותפות היו פתוחות ואז גם הן נדבקו).<o></o>
3. דגימות של הנוזקה הועברו מיידית ל-ESET והחל משעה 13:00 שוחררה גרסת חתימות (מספר: 11037) שזיהתה את הנוזקה כ : Win32/Filecoder.DA.<o></o>

מרגע יציאת גרסת החתימות העדכנית, הנוזקה זוהתה ונעצרה בכל תחנת עם אנטי וירוס מעודכן של ESET.<o></o>
להלן רשימת האנטי וירוסים שמזהים (ולא מזהים) את הנוזקה, נכון לאתמול 19.1.2015 ב 16:00 - לחצו לצפייה.<o></o>
<o></o>
מה לעשות עם רשת שנפגעה מהנוזקה?<o></o>

1. לוודא שמדובר ב CTB-Locker (השם יופיע בכותרת של ההודעה), ולא cryptolocker או ransomware מסוג אחר.<o></o>
2. לוודא שהתחנה מעודכנת (חתימה: 11037), ולהפעיל סריקה מלאה של האנטי וירוס.<o></o>
3. לבדוק בממשק הניהול שכל התחנות מותקנות ומעודכנות לחתימה 11037.<o></o>
4. לשלוח סריקה מלאה לכל התחנות והשרתים ברשת.<o></o>
5. לבצע בתחנה שנפגעה שחזור של הקבצים שהוצפנו מ Shadow copy אם קיים, או מתוכנת גיבוי.
   ניתן להשתמש בכלי החינמי הבא כדי לשחזר מ shadow copy:
   http://www.shadowexplorer.com/<o></o>

כיצד להגן טוב יותר על רשתות מאיומים דומים עתידיים:<o></o>
1. לוודא שיש גרסה אחרונה בתחנות ובשרתים, לפחות גרסה 5.0.XXXX בתחנות או גרסה 4.5.XXXX בשרתים.<o></o>
2. לוודא שמערכת Live Grid פעילה בתחנות ובשרתים.<o></o>
3.כאשר Live Grid פעילה, יש להפעיל את ההגדרה Advanced Heuristics on file execution<o></o>
4. במידה ומותקנת גרסת ESET Mail Security על שרת הדואר – יש לוודא שחסימת Potentially unwanted attachments מופעלת.

ובמידה ואין הגנה של ESET על שרת הדואר (או שמדובר בשירות דואר מבוסס-ענן), מומלץ לדרוש מספק השירות או להגדיר בתוכנת האנטי ספאם: לחסום קבצי מצורפים מסוג קבצי הפעלה (מכל הסוגים) או קבצי ZIP שמכילים קבצי הפעלה.<o></o>