Перейти к содержанию

Шифровальщик ooo4ps

KHAN
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Логи FRST из зашифрованной системы? Систему сканировали Курейт, KVRT или штатным антивирусом? Зашифрованные Bitlocker диски есть в системе?

KHAN

KHAN

Опубликовано
  • Автор
Опубликовано

Логи из бекапа копии системы.

Штатным антивирусом Microsoft Defender только.

Bitlocker в системе нет.

safety

safety

Опубликовано
Опубликовано (изменено)

Т.е. систему восстановили из бэкапа до момента шифрования? Зашифрованные файлы восстановлены из бэкапов?

Изменено пользователем safety
KHAN

KHAN

Опубликовано
  • Автор
Опубликовано

Да, восстановили виртуалку из бекапа у хостера. Файлы тоже из этого же бекапа.

KHAN

KHAN

Опубликовано
  • Автор
Опубликовано

Проверить систему на предмет оставшихся файлов, чтобы ситуация не повторилась вновь.

safety

safety

Опубликовано
Опубликовано (изменено)

Логи FRST были бы полезны, если были бы снята сразу после шифрования.

+ был бы полезен журнал событий, предшествующий шифрованию.

Ситуация может повториться, если не будут исправлены уязвимости в системе.

 

Как избежать новых ситуаций с шифрованием:

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Насколько помню, у вас это второй случай за последний месяц-два.

Предыдущий был в сентябре - pay2keys/Mimic.

Делайте выводы, скоро на вас и другие шифровальщики начнут тренироваться:  Lockbit, Proton, Proxima, C77L, Sauron, LokiLocker и т.д.

 

image.png

Изменено пользователем safety
KHAN

KHAN

Опубликовано
  • Автор
Опубликовано

Да, второй раз уже.

Но с прошлого раза все рекомендации выполнили.

Да и человеческий фактор никто не отменял.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • JesikaBin
      Поймали шифровальщик ooo4ps
      Автор JesikaBin
      Добрый день. Поймали шифровальщик, вымогают деньги 2000$ для расшифровки. В 1с войти не можем, на диск, где хранятся бэкапы тоже никак не войти. У нас арендованный сервер Windows Server. Как быть?

      virus.rar
    • Ivan_S
      Шифровальщик .ooo4ps
      Автор Ivan_S
      Добрый день. Пойммали вирус-шифровальщик на сервер. выяснили что все действия проводились через пользователя под которым крутилась 1с, однако была создана его копия, в которой хранится файл DiskCryptor. Ниже прикрепляю файл логов, а так же пара зашифрованных файлов вместе с архивом вируса

       
      Files.rar FRST.txt virus.rar
    • aryanatha
      Заразились шифровальщиком
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • pizzador
      Помощь в борьбе с шифровальщиками-вымогателями
      Автор pizzador
      Доброго времени суток. В компании работаю не давно,сервер находится на удаленке.Был доступ по РДП . Микротика не было.Заказал,но не успел прийти.По итогу после многочисленных атак ,в сервер проник шифровальщик и все закрыл.Бекапы делались на другие диски.Они заблокированы битлокером . Расшерение .le0
      Addition.txt FRST.txt Shortcut.txt Ильинский до корректировок осв.xlsx.zip
    • eNCwaer
      Зашифрованы файлы Salted
      Автор eNCwaer
      Добрый день! Сегодня утром поймали шифровальщик.
      В наименования файлов добавилось .le0
      Так же всплывает текстовый документ со следующим содержимым:
      "All your data has been locked us
      You want to return?
      Write email adk0@keemail.me"

      Файлы в архиве
      Пароль 123
      Files.rar
×
×
  • Создать...