phobos Шифровальщик "Fast.exe" с почтой вымогателя qqtiq@tuta.io

[AciDancer]

Доброй ночи.
Поймал мой боец с админским доступом шифровальщик-вымогатель.
Бэкапы есть только критической инфраструктуры и конечно же туда не входят пользовательские папки терминала и личные папки на файловом хранилище... 
Сейчас уже всё основное восстановил, но как Вы понимаете - пользователи за свои папки меня растерзают. 
Слёзно прошу помощи.
Файлы логов диагностики + архив с 2мя зашифрованными файлами - прилагаю.

Addition.txt FRST.txt Shortcut.txt zip arhive.zip

[safety]

Судя по логам, файлы шифровальщика очищены в системе.

FN.id[B6E88945-3351].[qqtiq@tuta.io].deep - это Phobos, по Phobos нет расшифровки файлов, только за выкуп ключей у злоумышленников, с большим риском, что не помогут после получения оплаты.

Восстановление данных возможно только из бэкапов.

 

теперь, когда вас шифрануло Phobos, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 16 апреля, 2024 пользователем safety