
Igor_V_Popov
Новички-
Публикаций
12 -
Зарегистрирован
-
Посещение
Репутация
0Информация о Igor_V_Popov
-
Статус
Новичок
-
Ответил один из дистрибьюторов. Сначала ответили: Добрый день! Ваш запрос передан в отдел разработок вместе с файлами. RDS-Knight не создаёт такие каталоги, насколько нам известно. Вы используете последнюю версию 4.2.7.19? Обновиться до последнего релиза можно из админ панели RDS-Knight. Через четыре часа пришло еще одно письмо: Добрый день. Присланные вами файлы действительно создаются RDS-Knight. Это т.н. файлы и каталоги «приманки». При помощи этих файлов и каталогов RDS-Knight узнаёт об атаках. В данных файлах не содержатся какие-то трояны или черви, вы можете просканировать
-
Доброго времени суток. Оставлю еще один пост, может быть Вам пригодится. Я нашел каким образом генерируются те каталоги и файлы, что я прикладывал в #4 и листинг которых есть в Вашем посте #15 Как это не удивительно, но похоже такие следы жизнедеятельности оставляет программа RDS-Knight поставил посмотреть что-за зверь, сегодня проверил на абсолютно чистой системе. Пребываю в легком недоумении, первый раз мне попадается программа с таким нестандартным поведением. Но, надо отдать должное, деинсталятор программы подчистил этот мусор.
-
Лучше заархивируйте их в zip c паролем virus, возможно в скором будущем будет дешифровальщик Будем надеяться =) Те файлы, которые зашифрованы были лежат в надежном месте, с надеждой когда-нибудь восстановить. А эти сами похоже содержат ключи для шифрования и функции для следующей атаки. Да, проверяю все ПК с которых могло пойти заражение и которые могли заразиться. Еще раз благодарю за помощь!
-
Спасибо огромное за то, что уделили время и оказали помощь. Я так понимаю, эти непонятные каталоги и файлы проанализированы и их можно удалить? Пороюсь еще с AD плотно, есть подозрение, что контроллер скомпроментирован, становлюсь параноиком )) Оригинальное имя Far.exe Версия файла 1.70 alpha 6 build 2037 Описание File and archive manager Производитель Eugene Roshal & FAR Group Комментарий TEST ONLY! проверил - чисто.
-
- Уточните пожалуйста антивирусный продукт KES 10, что-то выявил? KES у меня не установлен. - Также проверьте логи защитника Windows? В логах Microsoft Security Essentials - чисто, Kaspersky Anti-Ransomware Tool for Business 4 - чисто. Сканировал свежими Kaspersky Virus Removal Tool и Dr.Web CureIt! - чисто. - Программу Dameware для удаленного подключения сами устанавливали? Такую программу не устанавливал. Это точно для моей ветки коммент?
-
В двух каталогах что лежат на системном диске С:\ владелец файлов "Администраторы" (Screen_0.jpg) я так понимаю группа? На Screen_1 файл из каталога Desktop дефолтной учетной записи "Администратор". На Screen_2 файл из каталога Desktop учетной записи пользователя. Этот пользователь был создан и под ним заходил на сервер пару раз, создался профиль пользователя и проверил доступ по RDP Еще есть пользователь RDV GRAPHICS SERVICE - отключен. И пользователь "Гость" встроеная учетка, была отключена сразу и поставлен 16-ти значный сложный пароль. Спасибо, со статьей ознакомлюсь обязательно, п
-
Вам знакомы следующие пользователи? krbtgt (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile Это вроде бы учетная запись службы Kerberos она отключена и насколько помню ее не так просто удалить. FNLBSRVDC001$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile Этого пользователя точно не создавал, и я его не вижу в списке пользователей. SQ сказал(а) 24 Июл 2019 - 20:17: Так и не ответили на эти вопросы. Если Вы про обновление kb4499175 то оно действительно не было установлено, блин, установил. Насколько я понимаю у вас роутер Mikro
-
Эти каталоги и файлы появились сегодня, увидел когда зашел конфигурировать сервер, это и настораживает. Система свежая два дня как поставил, системный диск форматировался при установке. - Утоните если ваш сервер доступен из вне (с интернета)? - Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP? Да сервер доступен извне по белому IP, порты закрыты на уровне маршрутизатора, кроме необходимых, RDP порт по умолчанию (3389) изменен. Обновления еще устанавливаются, необязательные, критические уже должны были установиться. У меня подозрение, что это тот же ши
-
Доброго времени суток. Если позволите продолжу в этой же теме. Переустановил систему, так как в старой даже AutoLogger не запускался. Сегодня обнаружил на системном разделе две левые папки Adates0r1L0q2xmuCp и Qdatesvtb1L0q2xmuCp с таким же левым содержимым. У двух пользователей (больше пока не создавал) в папках Desktop и Documents также появились левые файлы с абракадаброй в именах. Проанализировав копию диска C:\ которую снял до переустановки, нашел в папках пользователей такие же по именам левые файлы, буква в букву. Так же обнаружил в каталоге пользователей C:\Users два скрытых каталога п
-
Доброго времени суток. Файлы в архиве: 01. _Vzlom_Matritsy.pdf.id-4649572D.[seavays@aol.com].save - отправлял вымогателям, 01. _Vzlom_Matritsy.pdf - это их ответ, может быть будет полезно. Текст окна шифровальщика в файле - баннер.txt То что шифровальщик оставил на каждом логическом диске - RETURN FILES.txt Пытаюсь восстановить работу сервера, проверил Kaspersky Virus Removal Tool и Dr.Web CureIt!, AutoLogger боюсь запускать, так как после перезагрузки может потеряться доступ к серверу совсем. На вас вся надежда, так как слышал что вымогателям платить бесполезно, все-ра