Problém se serverem, koncovky rapid, iobit uninstaller

[OndraVojta]

Dobrý den,

chtěl bych vás požádat o pomoc s Windows Server 2008 R2 v práci. Včera z ničeho nic spadl SQL server, který na něm běží a už nešel spustit, ani po restartu stroje. Na ploše se objevil jakýsi IObit Uninstaller a vedle hodin vyskočilo okno tohoto uninstalleru, že se nepodařilo správně odinstalovat AVG. Postupně vedle hodin na spodní liště zmizely všechny ikony spuštěných programů mimo tohoto IObit Uninstalleru.
Dnes, když jsme server zapnuli v nouzovém režimu, tak jsme si všimli, že na ploše jsou někteří zástupci s koncovkou "rapid". Možná nějaký ransomware.

Mohl by nám někdo prosím poradit, jak postupovat, abychom minimalizovali škody a zbavili se té havěti? Server jsme aktuálně raději vypnuli.

Moc děkuji za jakoukoliv pomoc.

EDIT: A chystáme se zkusit přes nějaké rescue cd/live distribuci linuxu nabootovat a zachránit na externí disk alespoň ta nejdůležitější data...

[JaRon]

ahoj,
toto forum neriesi firemne problemy, doporucujem obratit sa na neslape.cz.
Urcite ide o ransomware https://www.bleepingcomputer.com/news/s ... e-created/
Je otazne, co sa este podari zachranit a ake mate zalohy
drzim palce

[OndraVojta]

Ok, díky. Tušil jsem to, ale při rychlém shlédnutí základních informací na fóru jsem si toho nevšiml.

Kvalita zálohování se teď asi ukáže, no

[JaRon]

ak sa Vam to podari spojazdnit doporucujem:
- prescanovat s MBAM
- aktualizovat java, Flash apod.

[altrok]

Ahoj,

mě by prosím tě zajímalo, čím zálohujete a zda se vám podaří všechna (potřebná) data obnovit, respektive o kolik jste toho přišli.

altrok

[OndraVojta]

Ahoj,
zálohování asi nemáme úplně příkladné. Každopádně to nejdůležitější (zdrojáky a databáze) se sype na diskstation umístěný v síti. Zálohuje se to tam naplánovanými úlohami + skripty atd. Diskstation je nedotčený, stejně jako jiné počítače v síti. Zůstalo to pouze na serveru. Ještě to nemáme úplně zkontrolované, ale zdá se, že jsme to odchytili poměrně včas a zašifrovat se stihly spíše nedůležité věci v několika nepoužívaných uživatelských profilech. Kolega tam ale pustil skenováni AVG z rescue CD, takže teď k datům nemáme přístup, abychom to prohlédli dále.

[OndraVojta]

Někde jsem četl, že ten Rapid Ransomware jako jednu z prvních věci shodí SQL servery. Asi aby mohl šifrovat databáze? Nevim. Každopádně díky tomu jsme to zdá se rychle zjistili.

[OndraVojta]

Tak optimismus byl předčasný. Sice není zašifrované vše, ale hledáním souborů *.rapid jsme našli zašifrované soubory napříč všemi disky na serveru. Naštěstí to ale zůstalo jen tam a ten diskstation a jiné počítače v síti jsou ok.

[JaRon]

Pisu to v linku vyssie:
How Rapid Ransomware encrypts a computer
When the ransomware runs, it will clear the Windows shadow volume copies, terminate database processes, and disables automatic repair. The processes that are terminated are sql.exe, sqlite.exe, and oracle.com and the commands that are executed are:

vssadmin.exe Delete Shadow /All /Quiet
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures