Перейти к содержанию

Igor_V_Popov

Новички
  • Публикаций

    12
  • Зарегистрирован

  • Посещение

Репутация

0

Информация о Igor_V_Popov

  • Статус
    Новичок
  1. Ответил один из дистрибьюторов. Сначала ответили: Добрый день! Ваш запрос передан в отдел разработок вместе с файлами. RDS-Knight не создаёт такие каталоги, насколько нам известно. Вы используете последнюю версию 4.2.7.19? Обновиться до последнего релиза можно из админ панели RDS-Knight. Через четыре часа пришло еще одно письмо: Добрый день. Присланные вами файлы действительно создаются RDS-Knight. Это т.н. файлы и каталоги «приманки». При помощи этих файлов и каталогов RDS-Knight узнаёт об атаках. В данных файлах не содержатся какие-то трояны или черви, вы можете просканировать
  2. Пока не связывался, восстановлю работу сервера, чуть позже свяжусь. Но сначала еще раз проверю на чистой тестовой системе или виртуалке.
  3. Доброго времени суток. Оставлю еще один пост, может быть Вам пригодится. Я нашел каким образом генерируются те каталоги и файлы, что я прикладывал в #4 и листинг которых есть в Вашем посте #15 Как это не удивительно, но похоже такие следы жизнедеятельности оставляет программа RDS-Knight поставил посмотреть что-за зверь, сегодня проверил на абсолютно чистой системе. Пребываю в легком недоумении, первый раз мне попадается программа с таким нестандартным поведением. Но, надо отдать должное, деинсталятор программы подчистил этот мусор.
  4. Лучше заархивируйте их в zip c паролем virus, возможно в скором будущем будет дешифровальщик Будем надеяться =) Те файлы, которые зашифрованы были лежат в надежном месте, с надеждой когда-нибудь восстановить. А эти сами похоже содержат ключи для шифрования и функции для следующей атаки. Да, проверяю все ПК с которых могло пойти заражение и которые могли заразиться. Еще раз благодарю за помощь!
  5. Спасибо огромное за то, что уделили время и оказали помощь. Я так понимаю, эти непонятные каталоги и файлы проанализированы и их можно удалить? Пороюсь еще с AD плотно, есть подозрение, что контроллер скомпроментирован, становлюсь параноиком )) Оригинальное имя Far.exe Версия файла 1.70 alpha 6 build 2037 Описание File and archive manager Производитель Eugene Roshal & FAR Group Комментарий TEST ONLY! проверил - чисто.
  6. - Уточните пожалуйста антивирусный продукт KES 10, что-то выявил? KES у меня не установлен. - Также проверьте логи защитника Windows? В логах Microsoft Security Essentials - чисто, Kaspersky Anti-Ransomware Tool for Business 4 - чисто. Сканировал свежими Kaspersky Virus Removal Tool и Dr.Web CureIt! - чисто. - Программу Dameware для удаленного подключения сами устанавливали? Такую программу не устанавливал. Это точно для моей ветки коммент?
  7. В двух каталогах что лежат на системном диске С:\ владелец файлов "Администраторы" (Screen_0.jpg) я так понимаю группа? На Screen_1 файл из каталога Desktop дефолтной учетной записи "Администратор". На Screen_2 файл из каталога Desktop учетной записи пользователя. Этот пользователь был создан и под ним заходил на сервер пару раз, создался профиль пользователя и проверил доступ по RDP Еще есть пользователь RDV GRAPHICS SERVICE - отключен. И пользователь "Гость" встроеная учетка, была отключена сразу и поставлен 16-ти значный сложный пароль. Спасибо, со статьей ознакомлюсь обязательно, п
  8. Вам знакомы следующие пользователи? krbtgt (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile Это вроде бы учетная запись службы Kerberos она отключена и насколько помню ее не так просто удалить. FNLBSRVDC001$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile Этого пользователя точно не создавал, и я его не вижу в списке пользователей. SQ сказал(а) 24 Июл 2019 - 20:17: Так и не ответили на эти вопросы. Если Вы про обновление kb4499175 то оно действительно не было установлено, блин, установил. Насколько я понимаю у вас роутер Mikro
  9. Эти каталоги и файлы появились сегодня, увидел когда зашел конфигурировать сервер, это и настораживает. Система свежая два дня как поставил, системный диск форматировался при установке. - Утоните если ваш сервер доступен из вне (с интернета)? - Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP? Да сервер доступен извне по белому IP, порты закрыты на уровне маршрутизатора, кроме необходимых, RDP порт по умолчанию (3389) изменен. Обновления еще устанавливаются, необязательные, критические уже должны были установиться. У меня подозрение, что это тот же ши
  10. Доброго времени суток. Если позволите продолжу в этой же теме. Переустановил систему, так как в старой даже AutoLogger не запускался. Сегодня обнаружил на системном разделе две левые папки Adates0r1L0q2xmuCp и Qdatesvtb1L0q2xmuCp с таким же левым содержимым. У двух пользователей (больше пока не создавал) в папках Desktop и Documents также появились левые файлы с абракадаброй в именах. Проанализировав копию диска C:\ которую снял до переустановки, нашел в папках пользователей такие же по именам левые файлы, буква в букву. Так же обнаружил в каталоге пользователей C:\Users два скрытых каталога п
  11. Беда ((( спасибо за ответ. От вируса вроде бы избавился, но запущу AutoLogger чуть позже и прикреплю логи.
  12. Доброго времени суток. Файлы в архиве: 01. _Vzlom_Matritsy.pdf.id-4649572D.[seavays@aol.com].save - отправлял вымогателям, 01. _Vzlom_Matritsy.pdf - это их ответ, может быть будет полезно. Текст окна шифровальщика в файле - баннер.txt То что шифровальщик оставил на каждом логическом диске - RETURN FILES.txt Пытаюсь восстановить работу сервера, проверил Kaspersky Virus Removal Tool и Dr.Web CureIt!, AutoLogger боюсь запускать, так как после перезагрузки может потеряться доступ к серверу совсем. На вас вся надежда, так как слышал что вымогателям платить бесполезно, все-ра
×
×
  • Создать...