kva71 0 Опубликовано 7 ноября, 2016 Share Опубликовано 7 ноября, 2016 Сегодня ночью некий Вася Пупкин пробился через rdp на компьютер, остановил Касперского и запустил кодировщик. В результате все файлы приобрели следующий вид: email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-@@@@@24B7-B5FF.randomname-UVWXXYZABBBCDEFFGGHIJKKKLMNOPP.QQR.stt Часть имени, которая идет после randomname у всех файлов разная. Результат работы AutoLogger прилагаю. Под эту версию васи пупкина дешифратор есть? CollectionLog-2016.11.07-11.09.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 7 ноября, 2016 Share Опубликовано 7 ноября, 2016 Ну вот и все. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
kva71 0 Опубликовано 7 ноября, 2016 Автор Share Опубликовано 7 ноября, 2016 Выкладываю файлы Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 7 ноября, 2016 Share Опубликовано 7 ноября, 2016 Логи в порядке. С расшифровкой не поможем. Ссылка на сообщение Поделиться на другие сайты
kva71 0 Опубликовано 7 ноября, 2016 Автор Share Опубликовано 7 ноября, 2016 А почему Касперский остановилcя? Кодировщик стартанул после остановки Касперского. Перед этим были сетевые атаки. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 7 ноября, 2016 Share Опубликовано 7 ноября, 2016 Когда через RDP злоумышленник заходит на сервер он что первым делом делает, правильно удаляет или выгружает антивирус на компьютере, чтобы не мешал работать шифровальщику. Ссылка на сообщение Поделиться на другие сайты
kva71 0 Опубликовано 8 ноября, 2016 Автор Share Опубликовано 8 ноября, 2016 Да, все верно, злодей останавливает антивирус. Я не так спросил. Почему этот злодей пробился через антивирус? В протоколе работы сетевые атаки зафиксированы, и как раз перед взломом! Что не так в настройках антивируса? Что надо изменить в настройках, которые стоят по умолчанию? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 8 ноября, 2016 Share Опубликовано 8 ноября, 2016 (изменено) Почему этот злодей пробился через антивирус? А как он помешает злоумышленнику, если его прога для брута пароля к RDP будет работать через прокси? Что не так в настройках антивируса? Что надо изменить в настройках, которые стоят по умолчанию? Не в настройках антивируса дело, а в самих настройках сервера. Изменено 8 ноября, 2016 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти