Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.
Сегодня во время обновления удалённо платформы 1С шифровальщик сделал своё грязное дело.
Лицензия есть. Действующая.

Ссылка на сообщение
Поделиться на другие сайты
40 минут назад, AndreyNag сказал:

Лицензия есть. Действующая.

Пишите тогда сразу запрос. На форуме на данный момент можем помочь только с очисткой от вирусного заражения. 

Ссылка на сообщение
Поделиться на другие сайты

Файл с требованиями вымогателя вроде попадался на глаза, но был в неадеквате и не могу теперь найти его.

1.zip Addition.txt FRST.txt

P.S. Захожу в MyKaspersky, открываю поддержка, но там отсутствует "Создать запрос". 😞

Безымянный.jpg

Изменено пользователем AndreyNag
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.
На сколько мне известно, то шифровальщики не оставляют после себя тела вируса. Поэтому как такового особого лечения не требуется. Достаточно штатными средствами KIS просканировать.
Я правильно понимаю?
P.S. И до сих пор не понимаю как действующий KIS пропустил массовую шифровку файлов. 😞

Изменено пользователем AndreyNag
Ссылка на сообщение
Поделиться на другие сайты

Перейдите по ссылке https://support.kaspersky.ru/b2c/ru , далее сюда нажмите 

 

image.png

 

После этого заполните поля и нажмите "Мне не помогло, обратиться в поддержку"

 

image.png

 

7 часов назад, AndreyNag сказал:

И до сих пор не понимаю как действующий KIS пропустил массовую шифровку файлов

А вы еще не поняли, что злоумышленники к вам по RDP на эту машину зашли? Антивирус можно и отключить на момент выполнения черных дел.   

Ссылка на сообщение
Поделиться на другие сайты

RDP - Зло. Что же самое безопасное на текущий момент для удалённой работы?

 

22.12.2022 в 19:27, mike 1 сказал:

Перейдите по ссылке https://support.kaspersky.ru/b2c/ru , далее сюда нажмите 

 

image.png

 

После этого заполните поля и нажмите "Мне не помогло, обратиться в поддержку"

 

image.png

 

А вы еще не поняли, что злоумышленники к вам по RDP на эту машину зашли? Антивирус можно и отключить на момент выполнения черных дел.   

Объясните мне пожалуйста каким образом зловред мог пробраться на удалённый комп по RDP если на удалённом компе установлен корпоративный kaspersky total security? Интересует источник зловредного кода. 
Огромное количество подобных случаев, коими изобилует интернет пространство, происходит именно при операциях с платформой и базами 1С. 
Может стоит рыть в эту сторону?

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, AndreyNag сказал:

RDP - Зло. Что же самое безопасное на текущий момент для удалённой работы?

Безопасней использовать VPN + межсетевое экранирование портов с разделением на vlan сегментов сетей. Антивирус защищает от большинства угроз, но он не защищает от сложных или целевых атак. Если у вас RDP был открыт наружу, то вероятно через эксплуатацию уязвимостей могли попасть. 

 

39 минут назад, AndreyNag сказал:

kaspersky total security

Для бизнеса или домашний? Kaspersky Total Security подразумевает, что у организации есть выделенный сервер Kaspersky Security Center. Если это не оно, то у вас установлен домашний антивирус, который в корпоративной среде лучше не использовать из-за отсутствия централизованного управления им. 

 

41 минуту назад, AndreyNag сказал:

Интересует источник зловредного кода. 

Чтобы ответить на этот вопрос потребуется EDR. В противном случае вам придётся лопать все журналы самостоятельно, а грамотные злоумышленники их трут после выполнения чёрной работы. У Лаборатории Касперского имеется платный сервис, который позволяет провести аудит вашей ИТ инфраструктуры. Можете воспользоваться им. 

Ссылка на сообщение
Поделиться на другие сайты
Just now, mike 1 said:

Безопасней использовать VPN + межсетевое экранирование портов с разделением на vlan сегментов сетей. Антивирус защищает от большинства угроз, но он не защищает от сложных или целевых атак. Если у вас RDP был открыт наружу, то вероятно через эксплуатацию уязвимостей могли попасть. 

 

Для бизнеса или домашний? Kaspersky Total Security подразумевает, что у организации есть выделенный сервер Kaspersky Security Center. Если это не оно, то у вас установлен домашний антивирус, который в корпоративной среде лучше не использовать из-за отсутствия централизованного управления им. 

 

Чтобы ответить на этот вопрос потребуется EDR. В противном случае вам придётся лопать все журналы самостоятельно, а грамотные злоумышленники их трут после выполнения чёрной работы. У Лаборатории Касперского имеется платный сервис, который позволяет провести аудит вашей ИТ инфраструктуры. Можете воспользоваться им. 

KTS стоит корпоративный. Как раз спец занимался обновлением базы 1С по RDP.
Централизация управления никак на функционал не влияет. Не должна влиять. Я на предыдущем месте службы с KES работал непосредственно в масштабах территориально распределённой организации. С этой стороны вряд ли существуют проблемы. 
Накиньте пожалуйста версий источников и лазеек для подобного рода зловредов, чтобы исключить такие случаи впредь.
Спасибо.

Ссылка на сообщение
Поделиться на другие сайты
24.12.2022 в 01:55, AndreyNag сказал:

Накиньте пожалуйста версий источников и лазеек для подобного рода зловредов, чтобы исключить такие случаи впредь.

Нужно понимать, что зловреда запускали скорее вручную ручками. Основные это:

 

* Bruteforce RDP 

* Использование уязвимостей в протоколе RDP, либо в ОС Windows. 

* Ломанное ПО с сюрпризами

* Электронная почта   

Ссылка на сообщение
Поделиться на другие сайты
21 hours ago, mike 1 said:

* Использование уязвимостей в протоколе RDP, либо в ОС Windows. 

Я склоняюсь к этому пункту потому, что на многих компах используется ломаное ПО, но таких "сюрпризов" там не наблюдается годами. 

Вопрос к антивирусу остаётся. К чему модуль "Мониторинг активности" если он ничего не отмониторил на 4 (четырёх) компах, на которых поголовно стоит антивирус. 
В процессе разбора ситуации выяснена конфигурация при которой произошло заражение.
1. Спец 1С подключается со своего компа с лицензионным корпоративным KTS с помощью anydesk к рабочему компу клиента, на котором стоит KIS.
2. Далее с компа клиента по локальной сети с помощью RDP подключается к серверу. Скачивая при этом с портала 1С файлы для обновления платформы.
3. Где-то в этот момент возникают вопросы у спеца и мне звонят на предмет прояснить ситуацию. Я со своего домашнего компа с актуальным KIS подключаюсь к другому серверу по RDP (потому, что Win7Pro не позволяет одновременные подключения) и тут же наблюдаю файлы со странным расширением. Тревога! Кричу вырубайте сервера. Но было поздно. Оба сервера были зашифрованы тотально. По ходу хватило времени.
4. В этот момент у меня на компе начинают появляться в коре диска D файлы с таим же расширением и теперь уже я отключаю RDP и судорожно жму кнопку выключения.
Внимание Вопрос: На каком этапе должен был таки сработать пресловутый "мониторинг активности"? 
Как себя обезопасить и в организации исключить такие "сюрпризы"?

Изменено пользователем AndreyNag
Ссылка на сообщение
Поделиться на другие сайты

С вопросами почему не отработало нужно обращаться в техподдержку через Kaspersky Company. Здесь это обсуждать не имеет смысла, т.к. тут не отвечают сотрудники компании.  

Ссылка на сообщение
Поделиться на другие сайты
On 26.12.2022 at 22:30, mike 1 said:

С вопросами почему не отработало нужно обращаться в техподдержку через Kaspersky Company. Здесь это обсуждать не имеет смысла, т.к. тут не отвечают сотрудники компании.  

Я понимаю, что здесь не специалисты. Веду переписку с лабораторией, но ничего ценнее стандартных советов и рекомендаций я не получил. Так же не получил ответа как такое вообще могла произойти.
Вопросы на этом форуме я задаю осмысленно, чтобы общаясь с сообществом заинтересованных совместными усилиями решать общие вопросы и избегать проблем. 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, AndreyNag сказал:

Вопросы на этом форуме я задаю осмысленно, чтобы общаясь с сообществом заинтересованных совместными усилиями решать общие вопросы и избегать проблем. 

Тогда наверное имеет смысл вам завести отдельную тему, например, в разделе "Беседка". Здесь могут отвечать в чужих темах не все участники форума. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • mlum
      От mlum
      Стоял Kaspersky Security Cloud и был доступ по rdp
      Система Windows 7
      зашифровали все файлы, в личном кабинете вижу что для компа на котором все зашифровали отключали касперский
       
      FRST.txt и Addition.txt не с зараженного компа, он не грузиться
      там только диск D с зараженного компа, это не системный диск
      files.zip FRST.txt Addition.txt
    • Igus
      От Igus
      Сработал вирус-шифровальщик. На сервер попал через RDP.FRST.txtAddition.txtDecrypt_me.zip
×
×
  • Создать...