Перейти к содержанию
Правила раздела

Помощь в локализации backdoor w2022

Aleks13

От Aleks13
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Aleks13 Новичок

Aleks13

Опубликовано
Опубликовано

Здравствуйте уважаемые

Есть терминальный сервер на win2022, установлен Касперский  security for win sever 11.01.897/

В фаерволе были закрыты службы внешнего управления (реестра, шар), пароли сложные на RDP, защита от перебора rdpguard

однако злоумышленник смог проникнуть в систему, создал административную учётку systemsys и установил ПО diskcrypt для шифровки дисков. Бэкап есть, но хотелось бы понять, как и закрыть дыру. 

Сработки Касперского не было. В логах только это:

23.09.2023 16:46 Сервер администрирования остановлен. Сервер администрирования остановлен. Сервер администрирования Kaspersky Security Center
23.09.2023 16:46 Прокси-сервер KSN остановлен. Прокси-сервер KSN остановлен. Агент администрирования Kaspersky Security Center
23.09.2023 16:46 Установлена программа. Программа DiskCryptor 1.1 версии 1.1 установлена. Агент администрирования Kaspersky Security Center

 

23.09.2023 17:13    Устройство удалено.    Устройство 'Microsoft Remote Display Adapter' удалено.    Агент администрирования Kaspersky Security Center    14.2.0.26967
23.09.2023 17:13    Устройство удалено.    Устройство 'Generic Non-PnP Monitor' удалено.    Агент администрирования Kaspersky Security Center    14.2.0.26967

 

прошу подсказать
 

CollectionLog-2023.09.25-12.21.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Один из файлов типа

Цитата

C:\Users\Администратор\Desktop\Hacked_How_to_get_back_your_data.txt

прикрепите к следующему сообщению.

 

Но вам нужно обратиться напрямую в техн. поддержку - для пользователя корпоративным продуктом https://support.kaspersky.ru/b2b/#contacts

Или в соотв. ветку форума:

https://forum.kasperskyclub.ru/forum/142-pomosch-po-korporativnym-produktam/

 

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Aleks13 Новичок

Aleks13

Опубликовано
  • Автор
Опубликовано

прикрепил

вопрос в том, что техподдержка  распространяется на работу продукта, а антивирус вроде как работает, ошибок не выдал.  Тут какая то закладка видимо. 

я не видел, что в ветке по корп продуктам такое обсуждают, стоит пересоздать тему там?

Hacked_How_to_get_back_your_data — копия (4).txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
3 часа назад, Aleks13 сказал:

злоумышленник смог проникнуть в систему, создал административную учётку systemsys и установил ПО diskcrypt для шифровки дисков

То есть, шифрование произошло? Какое расширение стало у зашифрованных файлов? По логам не видно.

 

3 часа назад, Aleks13 сказал:

установлен Касперский  security for win sever 11.01.897

Потому и советую обратиться в ТП. Они должны разобраться почему такое произошло и что следует предпринять.

 

11 минут назад, Aleks13 сказал:

не видел, что в ветке по корп продуктам такое обсуждают, стоит пересоздать тему там?

Там обсуждают всё, что касается таких продуктов. Не пересоздайте, а создайте параллельно. Ссылку на эту тему там укажите.

Ссылка на комментарий
Поделиться на другие сайты
Aleks13 Новичок

Aleks13

Опубликовано
  • Автор
Опубликовано
35 минут назад, Sandor сказал:

То есть, шифрование произошло? Какое расширение стало у зашифрованных файлов? По логам не видно.

 

Да, зашифрован полностью диск с файлами. Обычной утилитой шифрования - diskcrypt 14 года. Она не является вредоносной. А запущенная локально не была блокирована

 

37 минут назад, Sandor сказал:

Потому и советую обратиться в ТП. Они должны разобраться почему такое произошло и что следует предпринять.

 

попробую

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Константин agromoll34
      Прошу помощи
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Alexk6
      Нужна помощь. *.datastore@cyberfear.com
      От Alexk6
      После криворукого админа возникли проблемы. Поймали шифровальщик. Админ сделал терминальный сервер из Win 11 Home на котором работали 6-7 человек, все с админскими правами. Браузером пользовались все с этого сервера. Файлы меньше 8 мб не затронуты. Ссылка на шифрованный файл и его орегинал https://cloud.mail.ru/public/a4nf/zJDX69Qs9
    • vika_
      Помощь в содержимом компьютера
      От vika_
      Добрый день! Компьютеру лет 10, вообще не разбираюсь, что и как у него. Решила включить, вроде заработал, но сильно шумел. Подумала, что надо друга то почистить,  но вот, когда открыла, поняла, что не знаю как действовать.
       Во-первых, лежали две детали, без своего места. Во-вторых, смутили 3 провода, которые висели, не подключенные никуда. Ну и в-третьих, можно ли аккуратно снять вентилятор и почистить за ним, боюсь чтоб не случилось ничего(
      Прошу понять и простить меня: в компьютерах совсем 0((


    • tkm
      [РЕШЕНО] Прошу помощи в лечении ПК
      От tkm
      Здравствуйте!
      Как было рекомендовано в разделе "Порядок оформления запроса о помощи" проверил ПК антивирусом, но скачать актуальную версию автоматического сборщика логов не дает McAffe (установлен был лет 5-6 назад). Удалял его обычными средствами, но видимо не получилось. 
      Пожалуйста подскажите, как решить проблему
    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
×
×
  • Создать...