Wo finde ich die Cerber-Programmdatei und die Registrierungseinträge?

1

Ein Server, den ich verwalte, wurde von einer Ransomware namens Cerber infiziert. Sie verlangen eine Zahlung (wie es der Sinn solcher Viren ist).

Ab sofort habe ich die Infektionsquelle eingegrenzt und beseitigt. Ich habe ein bisschen gegoogelt und gefunden mehrere Artikel Informationen zum Entfernen aus dem System. Besonders der am piependen Computer war ziemlich aufschlussreich.

Sie sagen, das Virus befindet sich an %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe. Leider existiert dieser Ordner auf dem infizierten System nicht :(
Sie bieten auch mehrere Registrierungsschlüssel, in denen die ausführbare Virusdatei gestartet wird: 

HKCU\Control Panel\Desktop\SCRNSAVE.EXE "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Command Processor\AutoRun   "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run    "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Auch keiner dieser Einträge existiert.
Wo (oder sogar wie) finde ich die ausführbare Datei des Virus, damit ich sie aus dem System entfernen kann?

windows windows-registry virus malware Vogel612
quelle
2
Die richtige Art und Weise, mit einem angegriffenen Server umzugehen, besteht darin, ihn von Grund auf neu zu installieren, da die Angreifer neben der Ransomware möglicherweise noch ein anderes "Geschenk" hinterlassen haben. serverfault.com/questions/218005/…
André Borie
@ AndréBorie Junge, ich habe das Glück, dass dies zu 1) keine Root-Kompromittierung, zu 2) kein öffentlich zugänglicher Webservice und zu 3) nur ein einziges Benutzerkonto auf dem Server war, das sich auch auf freigegebene Ressourcen auswirkte. Ich bin mir ziemlich sicher, dass der Angreifer keinen manuellen Zugriff hatte. Der gesamte Angriff war auf ein Einzelbenutzer-Heimsystem gerichtet, bei dem die Wiederherstellung ein größeres Problem gewesen wäre als zuvor. Nur weil das Wort Server in diesem Beitrag erscheint, heißt das nicht, dass dies ein Webserver war.
Vogel612
2
Webserver oder nein, alles andere als eine Neuinstallation ist unklug.
Alexander O'Mara
1
Sie müssen von Grund auf neu installieren. Sie haben keine Ahnung, was das Ding angerichtet hat.
cat
2
Sie können nie sicher sein, das ist das Problem. Nach allem, was Sie wissen, handelt es sich um ein maßgeschneidertes Rootkit, das die Ransomware nur als Lockvogel verwendet, in der Hoffnung, dass Menschen wie Sie die Ransomware einfach entfernen, während Sie das Rootkit alleine lassen.
André Borie

Antworten:

4

Es scheint einen neuen Virusstrang zu geben, der sich an einem etwas anderen Ort befindet und andere Registrierungsschlüssel verwendet.

Sie sollten in der Lage sein, den Virus unter zu finden %AppData%\{7DD25B43-EDEC-C6A2-4E97-EB6E11BD11CD3}.

Besonders interessant: Der Virus kann nur auf die Registrierung seines aktuellen Benutzers zugreifen. Es hat sich dementsprechend in die HKEY_USERS/[...]/ Bienenstock statt HKEY_CURRENT_USER manchmal. Die Registrierungseinträge in den jeweiligen Strukturen sind jedoch identisch.

Wie finde ich das, wenn ich den Pfad nicht kenne oder die "veröffentlichten" Pfade nicht funktionieren?

Ich konnte den Virus eingrenzen, indem ich den TaskManager über das Administratorkonto sorgfältig überprüfte, als der infizierte Benutzer angemeldet war. Um dies zu vereinfachen, möchten Sie möglicherweise die Spalten "Image Path Name" und "Command Line" in der Registerkarte "Details" von anzeigen Taskmanager.
In diesem Fall alles, was sich als Windows-ausführbar oder tarnt SCRNSAVE.EXE von \AppData\Roaming ist höchst verdächtig und sollte untersucht werden.

Vogel612
quelle