Agatik 0 Опубликовано 10 декабря, 2023 Автор Share Опубликовано 10 декабря, 2023 Не могу понять, как произвести проверку политики файлов Можете подсказать? Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 10 декабря, 2023 Share Опубликовано 10 декабря, 2023 (изменено) 1 hour ago, Agatik said: Не могу понять, как произвести проверку политики файлов Можете подсказать? Чтобы узнать больше о реализации политик IPsec, откройте оснастку MMC локальной политики безопасности (secpol. msc), нажмите клавишу F1, чтобы отобразить справку, а затем выберите "Создание и использование политик IPsec" в оглавлении. Вы можете через консоль secpol экспортировать все политики IP безопасности (там скорее всего одна активная), полученный файл выложите на облачный диск и дайте ссылку в ЛС. Изменено 10 декабря, 2023 пользователем safety Ссылка на сообщение Поделиться на другие сайты
Agatik 0 Опубликовано 10 декабря, 2023 Автор Share Опубликовано 10 декабря, 2023 (изменено) Зайдя в политику, при нажатии F1 открывается справка В ней видно информацию на фото. Пункт " а затем выберите "Создание и использование политик IPsec" в оглавлении." не можем найти Изменено 10 декабря, 2023 пользователем safety Ссылка на сообщение Поделиться на другие сайты
Agatik 0 Опубликовано 11 декабря, 2023 Автор Share Опубликовано 11 декабря, 2023 16 часов назад, safety сказал: https://www.virustotal.com/gui/file/2bdbdefbb71db72586bccdea78f44df12f3439878ad49b284b6c182e7f444df6?nocache=1 файл вредоносный. Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена" Система не будет перезагружена. ;uVS v4.14.1 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE czoo ;---------command-block--------- delall %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE apply QUIT без перезагрузки системы. ждем ответ специалистов по определению типа шифровальщика. ZOO (он с паролем virus) не удаляйте, возможно будет нужен еще для ТП. Так же проверьте политику: Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{ec2483bf-f911-4e5e-9c58-c9c93f9e872c} Админом создано или зловредом. Политика создана зловредом. Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 11 декабря, 2023 Share Опубликовано 11 декабря, 2023 Удаляем политику скриптом: Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена" (без перезагрузки системы) ;uVS v4.14.1 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE regt 26 regt 25 QUIT Напишите, наблюдается ли сейчас вирусная активность по срабатываниям антивируса? Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 17 декабря, 2023 Share Опубликовано 17 декабря, 2023 Есть предположение, что атаковали одновременно две группы, одна с шифрованием *.kann, вторая с шифрованием Mallox https://www.sentinelone.com/blog/mallox-resurrected-ransomware-attacks-exploiting-ms-sql-continue-to-burden-enterprises/ Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти