kva71 Опубликовано 7 ноября, 2016 Опубликовано 7 ноября, 2016 Сегодня ночью некий Вася Пупкин пробился через rdp на компьютер, остановил Касперского и запустил кодировщик. В результате все файлы приобрели следующий вид: email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-@@@@@24B7-B5FF.randomname-UVWXXYZABBBCDEFFGGHIJKKKLMNOPP.QQR.stt Часть имени, которая идет после randomname у всех файлов разная. Результат работы AutoLogger прилагаю. Под эту версию васи пупкина дешифратор есть? CollectionLog-2016.11.07-11.09.zip
mike 1 Опубликовано 7 ноября, 2016 Опубликовано 7 ноября, 2016 Ну вот и все. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
kva71 Опубликовано 7 ноября, 2016 Автор Опубликовано 7 ноября, 2016 Выкладываю файлы Addition.txt FRST.txt
mike 1 Опубликовано 7 ноября, 2016 Опубликовано 7 ноября, 2016 Логи в порядке. С расшифровкой не поможем.
kva71 Опубликовано 7 ноября, 2016 Автор Опубликовано 7 ноября, 2016 А почему Касперский остановилcя? Кодировщик стартанул после остановки Касперского. Перед этим были сетевые атаки.
mike 1 Опубликовано 7 ноября, 2016 Опубликовано 7 ноября, 2016 Когда через RDP злоумышленник заходит на сервер он что первым делом делает, правильно удаляет или выгружает антивирус на компьютере, чтобы не мешал работать шифровальщику.
kva71 Опубликовано 8 ноября, 2016 Автор Опубликовано 8 ноября, 2016 Да, все верно, злодей останавливает антивирус. Я не так спросил. Почему этот злодей пробился через антивирус? В протоколе работы сетевые атаки зафиксированы, и как раз перед взломом! Что не так в настройках антивируса? Что надо изменить в настройках, которые стоят по умолчанию?
mike 1 Опубликовано 8 ноября, 2016 Опубликовано 8 ноября, 2016 (изменено) Почему этот злодей пробился через антивирус? А как он помешает злоумышленнику, если его прога для брута пароля к RDP будет работать через прокси? Что не так в настройках антивируса? Что надо изменить в настройках, которые стоят по умолчанию? Не в настройках антивируса дело, а в самих настройках сервера. Изменено 8 ноября, 2016 пользователем mike 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти