Перейти к содержанию
Правила раздела
Встреча клуба на Новогодней ярмарке

Помощь в локализации backdoor w2022

Aleks13

Автор Aleks13,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Aleks13

Aleks13 0

Опубликовано
Опубликовано

Здравствуйте уважаемые

Есть терминальный сервер на win2022, установлен Касперский  security for win sever 11.01.897/

В фаерволе были закрыты службы внешнего управления (реестра, шар), пароли сложные на RDP, защита от перебора rdpguard

однако злоумышленник смог проникнуть в систему, создал административную учётку systemsys и установил ПО diskcrypt для шифровки дисков. Бэкап есть, но хотелось бы понять, как и закрыть дыру. 

Сработки Касперского не было. В логах только это:

23.09.2023 16:46 Сервер администрирования остановлен. Сервер администрирования остановлен. Сервер администрирования Kaspersky Security Center
23.09.2023 16:46 Прокси-сервер KSN остановлен. Прокси-сервер KSN остановлен. Агент администрирования Kaspersky Security Center
23.09.2023 16:46 Установлена программа. Программа DiskCryptor 1.1 версии 1.1 установлена. Агент администрирования Kaspersky Security Center

 

23.09.2023 17:13    Устройство удалено.    Устройство 'Microsoft Remote Display Adapter' удалено.    Агент администрирования Kaspersky Security Center    14.2.0.26967
23.09.2023 17:13    Устройство удалено.    Устройство 'Generic Non-PnP Monitor' удалено.    Агент администрирования Kaspersky Security Center    14.2.0.26967

 

прошу подсказать
 

CollectionLog-2023.09.25-12.21.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Один из файлов типа

Цитата

C:\Users\Администратор\Desktop\Hacked_How_to_get_back_your_data.txt

прикрепите к следующему сообщению.

 

Но вам нужно обратиться напрямую в техн. поддержку - для пользователя корпоративным продуктом https://support.kaspersky.ru/b2b/#contacts

Или в соотв. ветку форума:

https://forum.kasperskyclub.ru/forum/142-pomosch-po-korporativnym-produktam/

 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Aleks13

Aleks13 0

Опубликовано
  • Автор
Опубликовано

прикрепил

вопрос в том, что техподдержка  распространяется на работу продукта, а антивирус вроде как работает, ошибок не выдал.  Тут какая то закладка видимо. 

я не видел, что в ветке по корп продуктам такое обсуждают, стоит пересоздать тему там?

Hacked_How_to_get_back_your_data — копия (4).txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано
3 часа назад, Aleks13 сказал:

злоумышленник смог проникнуть в систему, создал административную учётку systemsys и установил ПО diskcrypt для шифровки дисков

То есть, шифрование произошло? Какое расширение стало у зашифрованных файлов? По логам не видно.

 

3 часа назад, Aleks13 сказал:

установлен Касперский  security for win sever 11.01.897

Потому и советую обратиться в ТП. Они должны разобраться почему такое произошло и что следует предпринять.

 

11 минут назад, Aleks13 сказал:

не видел, что в ветке по корп продуктам такое обсуждают, стоит пересоздать тему там?

Там обсуждают всё, что касается таких продуктов. Не пересоздайте, а создайте параллельно. Ссылку на эту тему там укажите.

Ссылка на сообщение
Поделиться на другие сайты
Aleks13

Aleks13 0

Опубликовано
  • Автор
Опубликовано
35 минут назад, Sandor сказал:

То есть, шифрование произошло? Какое расширение стало у зашифрованных файлов? По логам не видно.

 

Да, зашифрован полностью диск с файлами. Обычной утилитой шифрования - diskcrypt 14 года. Она не является вредоносной. А запущенная локально не была блокирована

 

37 минут назад, Sandor сказал:

Потому и советую обратиться в ТП. Они должны разобраться почему такое произошло и что следует предпринять.

 

попробую

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Ruby_Heart
      подозреваю на своем компьютере вирус, который заменяет системные файлы, а также запускает без моего ведома виртуальную машину. Доктор веб и kaspersky rescue tool ничего не находят. Прикладываю отчеты FRST.
      От Ruby_Heart
      Здравствуйте, подозреваю на своем компьютере вирус, который делает ботнет из компьютера, он заменяет системные файлы,   плодит бесконечные desktop.ini, мимикрирует под службы( intel, realtek ,microsoft), а также запускает без моего ведома виртуальную машину. Виртуалку удалось отключить только путем отключения виртуализации в биос. Доктор веб и kaspersky rescue tool ничего не находят. Прикладываю отчеты FRST. Заметил такую вещь, что когда пытался восстановиться с точки восстановления - это стало невозможно, он ссылался на битый С: раздел, после рекомендованного chkdsk точка пропала.
      Addition_02-07-2022 15.03.02.txt drivers.txt FRST_02-07-2022 15.03.02.txt
    • Romantryagain
      Подозрение на вирусное ПО
      От Romantryagain
      Здравствуйте, несколько дней назад комп начал виснуть, решил авз скачать проверить, он мне выдал что-то там о backdoor win32, поэтому решил обратиться к вам за помощью, прилагаю лог.
      CollectionLog-2020.10.27-15.47.zip
    • Unknown0000
      [РЕШЕНО] Вирус от DarkComet RAT.
      От Unknown0000
      Приветствую. Не так давно, столкнулся с проблемой - запустил BackDoor вирус от DarkComet RAT.
      Злоумышленник имел полный доступ к ПК, включал вебкамеру, смотрел содержимое диска и.т.д.
      Позже, я переустановил ОС.
      Но, просканировав на VirusTotal на новой системе файл svchost.exe(который находится в системой папке C:\Windows\System32) обнаружил это:
      https://drive.google.com/file/d/1eBsmopd1eROJK3vTMZ7M1xmoTg73hQ_O/view?usp=sharing
      https://drive.google.com/file/d/1kbosVxtx7kD8Pkr5wmRxerbqlH-1NmBZ/view?usp=sharing
      https://drive.google.com/file/d/1wsH3X2H8ZOUG1kemYTEB61UOuJf6_JnZ/view?usp=sharing
      https://drive.google.com/file/d/1aYmx4OkI8xORfcJSY8eUVUZljKP7emhQ/view?usp=sharing
      https://drive.google.com/file/d/1ccayGay4RuWQMS6LOCvN98BINRGYmOiv/view?usp=sharing
       
      Также, на других файлах .exe было найдено что-то.
       
      Однако, антивирус avast на полном сканировании с максимальной чувствительностью ничего не нашел - https://drive.google.com/file/d/1cca...ew?usp=sharing
       
      Подскажите кто знает как избавится от этого, пожалуйста.
       
×
×
  • Создать...