LINUX.ORG.RU

Вирус-шифровальщик

 , ,


0

6

Добрый день, я владелец VPS от REG.RU Вчера в 4:29-4:34 были все файлы зашифрованы. Все файлы имеют на конце окончание: .encrypted

Началось все с домена nation-game.ru Вижу вот что: https://nation-game.ru/README.txt

Далее, данный README распространен по всей вдс, зашифрованы все файлы связанные с сайтами и тд.

Системные файлы LUNIX не тронуты. Использую ОС Debian. На данный домен установлен SSL сертификат от GlobalSign, и так же выделеный IP адресс для домена.

Один из зашифрованных файлов: http://rghost.ru/8YyNylndM Файл README.txt из домена nation-game.ru: http://rghost.ru/private/8ghRNnmLN/b6a042b...0d6afa914f09426

Так же пост создал на форуме касперского, но там меня игнорируют... http://forum.kaspersky.com/index.php?showtopic=330670


забыл дописать:

Хнык-хнык, сами мы не местные, волею судеб остались без файлов, помогите люди добрые

Куда высылать файлы? У меня есть пара-тройка не нужных.

Найми специалиста, пусть ищет дыры. Восстанавливайся после латания из бекапа. Делов-то!

anonymous ()

Системные файлы LUNIX

Толстовато.

А в чём вопрос? Или ты похвастаться пришёл.

shrub ★★★★★ ()

which must contains you're BTC wallet.
After this, our system will automatically checks payment

-- MGIMO finished?

-- A-a-ask!

fmdw ()

Сломано через дыру в сайте, а данные - или плати, или из бэкапов. Ну и найми специалиста.

anonymous ()

Ну и? Пытаешься из логов понять, как сломали, переставляешь свою ОС на VPS и закидываешь туда данные из бэкапов. Что ты хочешь на этом форуме?

x3al ★★★★★ ()

Прохладная история бро. Сочувствую. Так ты чего то конкретное от нас хочешь, или просто горем поделиться?

Jameson ★★ ()
Ответ на: комментарий от Jameson

Он как бы говорит нам, что появились вирусы для луникса и пришло время переустанавливать.

user42 ★★ ()
Последнее исправление: user42 (всего исправлений: 1)

RSA-2048

index.php.encrypted (764 байта)

764÷(2048÷8) = 2,984375

anonymous ()
Ответ на: комментарий от user42

Он как бы говорит нам, что появились вирусы для луникса и пришло время переустанавливать.

А, ну тогда пусть переустановит... Я понимаю, да. Первый раз он такой. Попа горит огнём, полон чувств, бэкапов нет так как всё было просто НЕПРОБИВАЕМО и тут вдруг, как же так, наверное 0-day баг, надо бежать, предупредить.

На форум Касперского! Но там игнор... как быть? linux.org.ru конечно! Тут поймут.

Jameson ★★ ()

Алгоритм

Топикстартер, ты в панике, видимо это твой первый раз, он незабываем, да. Алгоритм твоих действий:

1. Делаешь копию своей машины в том виде, в каком она прямо сейчас.

2. Переустанавливаешь OS, поднимаешь из архивов контент. (Нет архивов? Ну тогда с нуля...)

3. Параллельно ковыряешь копию трупа на предмет поиска отверстия. На эту тему есть множество материалов, погугли про диагностику троянов в Линукс. Нашёл - молодец, закрой его теперь на боевом хосте. Нет - внимательно мониторь боевой хост, бакапься каждые 10 минут, логи растопырь и жди

Jameson ★★ ()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: Алгоритм от Jameson

Алгоритм

Ребят, я пришел за советом, мб есть идеи что за шелл? ибо зашифровало все файлы, даже из корня вдски. Я хочу понять в чем дыра, я пришел сюда, потому что думаю, что тут есть специалисты по Linux. Я сам не профи в linux, на малом или среднем уровне я с ним управляюсь. Мне нужна помощь в обнаружении этой дыры. Спасибо за совет кстати.

TweIk ()
Ответ на: комментарий от anonymous

Я не очень понимаю что означает итоговое число твоё. Можешь пожалуйста объяснить подробнее?

TweIk ()
Ответ на: Алгоритм от TweIk

Да никто тебе здесь не поможет. Точнее, дыра может и найдётся, но никто не гарантирует, что она одна. Переустанавливай систему.

generator ★★★ ()
Ответ на: Алгоритм от TweIk

http://vk.com/nationgameru

Nation-Game.Ru - Мы это игровой проект и сообщество по игре Counter-Strike. Мы имеем опыт по работе с клиентами и серверами. Под нашим контролем работал проект empire-games.su

Мы имеем опыт по работе с клиентами и серверами.

и внезапно

Я сам не профи в linux, на малом или среднем уровне я с ним управляюсь.

Это ведь твой ВК? http://vk.com/id294090985

Вуз: СПбПУ (Политех) Факультет: Институт информационных технологий и управления Кафедра: Информационной безопасности компьютерных систем

Прогуливаешь уроки?

shrub ★★★★★ ()
Ответ на: комментарий от anonymous

Но, большая энтропия содержимого index.php.encrypted говорит, что это не что-то банальное.

Для нормального анализа нужно больше файлов и им соответствующие оригинальные файлы или искать бинарник «шифровальщика».

anonymous ()
Ответ на: комментарий от anonymous

это может быть сжатый какимнить bzip файл с последующим xor - можно долго потом сидеть и вдуплять что это не имея оригинальных данных

хотя там есть что-то похожее на заголовок, если это контейнер то можно просто обрезать паддинг rsa

subwoofer ★★★★★ ()
Последнее исправление: subwoofer (всего исправлений: 1)
Ответ на: комментарий от subwoofer

Плюсую. Очень похоже на то. Возможно, даже без ксора, просто как-то обфусцирован заголовок.

И да, хоть бы оригинальный файл выложил.

unC0Rr ★★★★★ ()
Последнее исправление: unC0Rr (всего исправлений: 1)

Ищите по accesslog всё в районе 05:33 вчерашнего дня - там должны быть подсказки.

И доставайте бэкап из карманов - без него будет тяжко.

Deleted ()
Ответ на: комментарий от unC0Rr

оригинальный заголовок могли просто дропнуть, или заменить нулями - благо их там подозрительно много

subwoofer ★★★★★ ()

Восстанови из бэкапа, да и все дела.

hibou ★★★★★ ()
Ответ на: комментарий от shrub

Заголовки и слова, маркетинг чистой руки. Проект был закрыт еще в начале этого года, если интересует. По поводу «Опыт работы с клиентами и серверами», имеется в веду игровой сервер сам. Его серверная часть (HLDS).

TweIk ()
Ответ на: комментарий от Deleted

Бэкапы делал ISPManager, ну и соответсвенно, их тоже зашифровало, я не ожидал что такое вообще у меня будет.

TweIk ()
Ответ на: комментарий от TweIk

я тебе сказал что за дыра. Виноват сайт.

anonymous ()
Ответ на: комментарий от anonymous

Как через сайт вообще возможно получить ROOT доступ? Корневые папки тоже были зашифрованы.

TweIk ()
Ответ на: комментарий от bastardfromhell

Пока рылся в accesslog за 26 августа, т.е. за сегодня, заметил что досихпор идет какой-то брут рут пароля.

Aug 26 05:32:03 nation-game sshd[16645]: Failed password for root from 43.229.53.12 port 50638 ssh2 Aug 26 05:32:04 nation-game sshd[16679]: Invalid user admin from 31.184.195.111 Aug 26 05:32:04 nation-game sshd[16679]: pam_unix(sshd:auth): check pass; user unknown Aug 26 05:32:04 nation-game sshd[16679]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=31.184.195.111 Aug 26 05:32:06 nation-game sshd[16645]: Failed password for root from 43.229.53.12 port 50638 ssh2 Aug 26 05:32:06 nation-game sshd[16679]: Failed password for invalid user admin from 31.184.195.111 port 37340 ssh2 Aug 26 05:32:08 nation-game sshd[16645]: Failed password for root from 43.229.53.12 port 50638 ssh2 Aug 26 05:32:08 nation-game sshd[16645]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.12 user=root Aug 26 05:32:12 nation-game sshd[16681]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.12 user=root Aug 26 05:32:14 nation-game sshd[16681]: Failed password for root from 43.229.53.12 port 18489 ssh2 Aug 26 05:32:18 nation-game last message repeated 2 times Aug 26 05:32:18 nation-game sshd[16681]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.12 user=root Aug 26 05:32:21 nation-game sshd[16683]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.12 user=root Aug 26 05:32:23 nation-game sshd[16683]: Failed password for root from 43.229.53.12 port 40915 ssh2 Aug 26 05:32:28 nation-game last message repeated 2 times Aug 26 05:32:28 nation-game sshd[16683]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.12 user=root Aug 26 05:32:30 nation-game sshd[16685]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.12 user=root Aug 26 05:32:32 nation-game sshd[16685]: Failed password for root from 43.229.53.12 port 62886 ssh2 Aug 26 05:32:37 nation-game last message repeated 2 times

Далее:

Aug 26 11:20:03 nation-game sshd[27017]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.50 user=root Aug 26 11:20:03 nation-game sshd[27027]: Failed password for root from 221.122.66.45 port 52677 ssh2 Aug 26 11:20:04 nation-game sshd[27025]: Failed password for root from 43.229.53.16 port 61530 ssh2 Aug 26 11:20:05 nation-game sshd[27073]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.50 user=root Aug 26 11:20:05 nation-game sshd[27021]: Failed password for root from 221.203.3.18 port 55470 ssh2 Aug 26 11:20:06 nation-game sshd[27021]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.203.3.18 user=root Aug 26 11:20:06 nation-game sshd[27075]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.122.66.45 user=root Aug 26 11:20:07 nation-game sshd[27073]: Failed password for root from 43.229.53.50 port 44211 ssh2 Aug 26 11:20:07 nation-game sshd[27025]: Failed password for root from 43.229.53.16 port 61530 ssh2 Aug 26 11:20:08 nation-game sshd[27025]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.16 user=root Aug 26 11:20:08 nation-game sshd[27075]: Failed password for root from 221.122.66.45 port 52947 ssh2 Aug 26 11:20:09 nation-game sshd[27077]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.203.3.18 user=root Aug 26 11:20:10 nation-game sshd[27073]: Failed password for root from 43.229.53.50 port 44211 ssh2 Aug 26 11:20:10 nation-game sshd[27082]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.16 user=root Aug 26 11:20:10 nation-game sshd[27084]: Invalid user tecmint from 221.122.66.45

Access.log.0 модифицирован был 25 августа в 4:23:00 Там информация с 5:28.

Mail.log тоже интересную инфу содержит:

Aug 25 06:44:33 nation-game dovecot: imap-login: Disconnected (no auth attempts): rip=141.212.122.90, lip=185.20.225.180, TLS: Disconnected Aug 25 07:25:39 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:25:47 nation-game last message repeated 3 times Aug 25 07:25:49 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:25:49 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:25:51 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:25:51 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:25:52 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<webmaster>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:25:54 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:25:54 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:25:55 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<webmaster>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:25:57 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:25:58 nation-game dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<webmaster>, method=PLAIN, rip=206.41.84.140, lip=185.20.225.180 Aug 25 07:26:06 nation-game last message repeated 3 times

TweIk ()

Once CryptoLocker has been downloaded and executed by the downloader, it ensures its automatic start during boot by using (in one variant, other may differ) the following registry value:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CryptoLocker = %appdata%\{CLSID}.exe 
(note that the file name consists of random hexadecimal numbers). CryptoLocker first attempts to connect to a command-and-control server, after which it generates a 2048-bit RSA public and private key pair, and uploads the key to the server. The malware then attempts to encrypt data on any local or network storage drive that the user can access using a 2048-bit RSA key, targeting files matching a whitelist of file extensions.

bastardfromhell ()

На VPS вход по ssh на root был? FTP поднятый имелся? Для ssh доступа какой клиент на локальной машине был? Доступ до SFTP в filezilla был сохранен?

bastardfromhell ()
Ответ на: комментарий от bastardfromhell

Все логи где он авторизовывался или что-то делал, зашифрованы тоже

TweIk ()
Ответ на: комментарий от bastardfromhell

VPS да, на root был. FTP сервер имелся, но я его не использовал. У меня PuTTy использовался для входа на машину. Доступ по SFTP у меня в файлзиле не сохранялся, всегда ввожу сам данные

TweIk ()

ТС, первое - у тебя шифрануло все файлы за 5 минут. RSA довольно толстый шифр, ты уверен что оно бы успело? Файлов много в плане веса? Второе - бэкапы, как завещал дедушка. И третье - LUNIX это уже интересно

И еще - проверь самые большие файлы. Они точно зашифрованы _целиком_? слишком быстро все прошло, вполне возможно что это и не RSA, и зашифрована первая пара килобайт по статической таблице.

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.