NSI2022 Опубликовано 19 января Поделиться Опубликовано 19 января добрый день, столкнулся с аналогичной проблемой, сможете помочь? активная подписка имеется Сообщение от модератора Mark D. Pearlstone Перемещено из темы. Ссылка на комментарий Поделиться на другие сайты Поделиться
Mark D. Pearlstone Опубликовано 19 января Поделиться Опубликовано 19 января Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты Поделиться
NSI2022 Опубликовано 19 января Автор Поделиться Опубликовано 19 января прикрепляю файлы пароль virus зашифрованый.rar файл требование FILES_ENCRYPTED.rar логи FRST.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 19 января Поделиться Опубликовано 19 января Система перегружалась после шифрования? + Ориентировочное время начала шифрования: 2025-01-18 21:50 - 2024-08-22 15:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt в TEMP пользователя USR1CV83: проверьте наличие скриптов *cmd. созданных к моменту шифрования, можно так же по всему системному диску выполнить поиск подобных файлов. Ссылка на комментарий Поделиться на другие сайты Поделиться
NSI2022 Опубликовано 19 января Автор Поделиться Опубликовано 19 января (изменено) 12 минут назад, safety сказал: Система перегружалась после шифрования? + Ориентировочное время начала шифрования: 2025-01-18 21:50 - 2024-08-22 15:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt в TEMP пользователя USR1CV83: проверьте наличие скриптов *cmd. созданных к моменту шифрования, можно так же по всему системному диску выполнить поиск подобных файлов. да, сервер был выключен сегодня утром. так и обнаружилось Изменено 19 января пользователем NSI2022 Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 19 января Поделиться Опубликовано 19 января проверьте наличие скриптов *cmd. созданных к моменту шифрования, можно так же выполнить поиск по всему системному диску подобных файлов. Ссылка на комментарий Поделиться на другие сайты Поделиться
NSI2022 Опубликовано 19 января Автор Поделиться Опубликовано 19 января (изменено) 39 минут назад, safety сказал: проверьте наличие скриптов *cmd. созданных к моменту шифрования, можно так же выполнить поиск по всему системному диску подобных файлов. выполняю. они каспера удалили, kvrt прогнал ни чего не нашел. Изменено 19 января пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 19 января Поделиться Опубликовано 19 января (изменено) ок, можно так же по подстроке в текстовых файлах *.cmd, *.bat выполнить поиск: "openssl.exe enc -e -aes-256-cbc" Изменено 19 января пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
NSI2022 Опубликовано 19 января Автор Поделиться Опубликовано 19 января пока не получается найти 11 минут назад, safety сказал: ок, можно так же по подстроке в текстовых файлах *.cmd, *.bat выполнить поиск: "openssl.exe enc -e -aes-256-cbc" нет активных скриптов Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 19 января Поделиться Опубликовано 19 января (изменено) а и не нужны активные. нужны те, что были созданы до момента шифрования. Пробуйте через Everything поискать. Изменено 19 января пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
NSI2022 Опубликовано 19 января Автор Поделиться Опубликовано 19 января диски еще bitlockerom закрыты Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 19 января Поделиться Опубликовано 19 января (изменено) да, все это в комплексе происходит, системный диск шифруется salted2020, другие диски шифруются битлокером. Изменено 19 января пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
NSI2022 Опубликовано 19 января Автор Поделиться Опубликовано 19 января (изменено) everything тоже не находит *cmd *bat с датой шифрования Изменено 19 января пользователем NSI2022 Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 19 января Поделиться Опубликовано 19 января увы, не сможем помочь по данному типу шифровальщика. теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); Ссылка на комментарий Поделиться на другие сайты Поделиться
NSI2022 Опубликовано 19 января Автор Поделиться Опубликовано 19 января (изменено) на самом деле всё это было сделано все пункты, через довереные ip без vpn правда, пока не понял как пролезли через USR1CV83 Изменено 19 января пользователем NSI2022 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти