Перейти к содержанию

Шифровальщик .QUIETPLACE


Рекомендуемые сообщения

Здравствуйте.
Сегодня во время обновления удалённо платформы 1С шифровальщик сделал своё грязное дело.
Лицензия есть. Действующая.

Ссылка на комментарий
Поделиться на другие сайты

40 минут назад, AndreyNag сказал:

Лицензия есть. Действующая.

Пишите тогда сразу запрос. На форуме на данный момент можем помочь только с очисткой от вирусного заражения. 

Ссылка на комментарий
Поделиться на другие сайты

Файл с требованиями вымогателя вроде попадался на глаза, но был в неадеквате и не могу теперь найти его.

1.zip Addition.txt FRST.txt

P.S. Захожу в MyKaspersky, открываю поддержка, но там отсутствует "Создать запрос". 😞

Безымянный.jpg

Изменено пользователем AndreyNag
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.
На сколько мне известно, то шифровальщики не оставляют после себя тела вируса. Поэтому как такового особого лечения не требуется. Достаточно штатными средствами KIS просканировать.
Я правильно понимаю?
P.S. И до сих пор не понимаю как действующий KIS пропустил массовую шифровку файлов. 😞

Изменено пользователем AndreyNag
Ссылка на комментарий
Поделиться на другие сайты

Перейдите по ссылке https://support.kaspersky.ru/b2c/ru , далее сюда нажмите 

 

image.png

 

После этого заполните поля и нажмите "Мне не помогло, обратиться в поддержку"

 

image.png

 

7 часов назад, AndreyNag сказал:

И до сих пор не понимаю как действующий KIS пропустил массовую шифровку файлов

А вы еще не поняли, что злоумышленники к вам по RDP на эту машину зашли? Антивирус можно и отключить на момент выполнения черных дел.   

  • Печаль 1
Ссылка на комментарий
Поделиться на другие сайты

RDP - Зло. Что же самое безопасное на текущий момент для удалённой работы?

 

22.12.2022 в 19:27, mike 1 сказал:

Перейдите по ссылке https://support.kaspersky.ru/b2c/ru , далее сюда нажмите 

 

image.png

 

После этого заполните поля и нажмите "Мне не помогло, обратиться в поддержку"

 

image.png

 

А вы еще не поняли, что злоумышленники к вам по RDP на эту машину зашли? Антивирус можно и отключить на момент выполнения черных дел.   

Объясните мне пожалуйста каким образом зловред мог пробраться на удалённый комп по RDP если на удалённом компе установлен корпоративный kaspersky total security? Интересует источник зловредного кода. 
Огромное количество подобных случаев, коими изобилует интернет пространство, происходит именно при операциях с платформой и базами 1С. 
Может стоит рыть в эту сторону?

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, AndreyNag сказал:

RDP - Зло. Что же самое безопасное на текущий момент для удалённой работы?

Безопасней использовать VPN + межсетевое экранирование портов с разделением на vlan сегментов сетей. Антивирус защищает от большинства угроз, но он не защищает от сложных или целевых атак. Если у вас RDP был открыт наружу, то вероятно через эксплуатацию уязвимостей могли попасть. 

 

39 минут назад, AndreyNag сказал:

kaspersky total security

Для бизнеса или домашний? Kaspersky Total Security подразумевает, что у организации есть выделенный сервер Kaspersky Security Center. Если это не оно, то у вас установлен домашний антивирус, который в корпоративной среде лучше не использовать из-за отсутствия централизованного управления им. 

 

41 минуту назад, AndreyNag сказал:

Интересует источник зловредного кода. 

Чтобы ответить на этот вопрос потребуется EDR. В противном случае вам придётся лопать все журналы самостоятельно, а грамотные злоумышленники их трут после выполнения чёрной работы. У Лаборатории Касперского имеется платный сервис, который позволяет провести аудит вашей ИТ инфраструктуры. Можете воспользоваться им. 

Ссылка на комментарий
Поделиться на другие сайты

Just now, mike 1 said:

Безопасней использовать VPN + межсетевое экранирование портов с разделением на vlan сегментов сетей. Антивирус защищает от большинства угроз, но он не защищает от сложных или целевых атак. Если у вас RDP был открыт наружу, то вероятно через эксплуатацию уязвимостей могли попасть. 

 

Для бизнеса или домашний? Kaspersky Total Security подразумевает, что у организации есть выделенный сервер Kaspersky Security Center. Если это не оно, то у вас установлен домашний антивирус, который в корпоративной среде лучше не использовать из-за отсутствия централизованного управления им. 

 

Чтобы ответить на этот вопрос потребуется EDR. В противном случае вам придётся лопать все журналы самостоятельно, а грамотные злоумышленники их трут после выполнения чёрной работы. У Лаборатории Касперского имеется платный сервис, который позволяет провести аудит вашей ИТ инфраструктуры. Можете воспользоваться им. 

KTS стоит корпоративный. Как раз спец занимался обновлением базы 1С по RDP.
Централизация управления никак на функционал не влияет. Не должна влиять. Я на предыдущем месте службы с KES работал непосредственно в масштабах территориально распределённой организации. С этой стороны вряд ли существуют проблемы. 
Накиньте пожалуйста версий источников и лазеек для подобного рода зловредов, чтобы исключить такие случаи впредь.
Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

24.12.2022 в 01:55, AndreyNag сказал:

Накиньте пожалуйста версий источников и лазеек для подобного рода зловредов, чтобы исключить такие случаи впредь.

Нужно понимать, что зловреда запускали скорее вручную ручками. Основные это:

 

* Bruteforce RDP 

* Использование уязвимостей в протоколе RDP, либо в ОС Windows. 

* Ломанное ПО с сюрпризами

* Электронная почта   

Ссылка на комментарий
Поделиться на другие сайты

21 hours ago, mike 1 said:

* Использование уязвимостей в протоколе RDP, либо в ОС Windows. 

Я склоняюсь к этому пункту потому, что на многих компах используется ломаное ПО, но таких "сюрпризов" там не наблюдается годами. 

Вопрос к антивирусу остаётся. К чему модуль "Мониторинг активности" если он ничего не отмониторил на 4 (четырёх) компах, на которых поголовно стоит антивирус. 
В процессе разбора ситуации выяснена конфигурация при которой произошло заражение.
1. Спец 1С подключается со своего компа с лицензионным корпоративным KTS с помощью anydesk к рабочему компу клиента, на котором стоит KIS.
2. Далее с компа клиента по локальной сети с помощью RDP подключается к серверу. Скачивая при этом с портала 1С файлы для обновления платформы.
3. Где-то в этот момент возникают вопросы у спеца и мне звонят на предмет прояснить ситуацию. Я со своего домашнего компа с актуальным KIS подключаюсь к другому серверу по RDP (потому, что Win7Pro не позволяет одновременные подключения) и тут же наблюдаю файлы со странным расширением. Тревога! Кричу вырубайте сервера. Но было поздно. Оба сервера были зашифрованы тотально. По ходу хватило времени.
4. В этот момент у меня на компе начинают появляться в коре диска D файлы с таим же расширением и теперь уже я отключаю RDP и судорожно жму кнопку выключения.
Внимание Вопрос: На каком этапе должен был таки сработать пресловутый "мониторинг активности"? 
Как себя обезопасить и в организации исключить такие "сюрпризы"?

Изменено пользователем AndreyNag
Ссылка на комментарий
Поделиться на другие сайты

С вопросами почему не отработало нужно обращаться в техподдержку через Kaspersky Company. Здесь это обсуждать не имеет смысла, т.к. тут не отвечают сотрудники компании.  

Ссылка на комментарий
Поделиться на другие сайты

On 26.12.2022 at 22:30, mike 1 said:

С вопросами почему не отработало нужно обращаться в техподдержку через Kaspersky Company. Здесь это обсуждать не имеет смысла, т.к. тут не отвечают сотрудники компании.  

Я понимаю, что здесь не специалисты. Веду переписку с лабораторией, но ничего ценнее стандартных советов и рекомендаций я не получил. Так же не получил ответа как такое вообще могла произойти.
Вопросы на этом форуме я задаю осмысленно, чтобы общаясь с сообществом заинтересованных совместными усилиями решать общие вопросы и избегать проблем. 

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, AndreyNag сказал:

Вопросы на этом форуме я задаю осмысленно, чтобы общаясь с сообществом заинтересованных совместными усилиями решать общие вопросы и избегать проблем. 

Тогда наверное имеет смысл вам завести отдельную тему, например, в разделе "Беседка". Здесь могут отвечать в чужих темах не все участники форума. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • kocks33
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
×
×
  • Создать...