KostaMEN Опубликовано 3 августа, 2017 Share Опубликовано 3 августа, 2017 (изменено) Заражение произошло на сервере терминалов под Windows Server 2008R2. Заражен один пользователь и расшареная папка к которой был доступ. CollectionLog-2017.08.03-22.53.zip Изменено 3 августа, 2017 пользователем KostaMEN Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 3 августа, 2017 Share Опубликовано 3 августа, 2017 Сервер стал источником шифрования или компьютер пользователя? Ссылка на комментарий Поделиться на другие сайты More sharing options...
KostaMEN Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 (изменено) Заражение(сервера) произошло с машины пользователя во время терминальной сессии. Сама машина пользователя и ее локальная операционка не пострадали. Поражены папки пользователя находящиеся на сервере. Остальные папки сервера не поражены. Сервер функционирует нормально. Изменено 4 августа, 2017 пользователем KostaMEN Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 4 августа, 2017 Share Опубликовано 4 августа, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
KostaMEN Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 Готово. frst.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 4 августа, 2017 Share Опубликовано 4 августа, 2017 Логи в порядке. С расшифровкой помочь не сможем. Однако не факт, что на компьютере, ставшем источником, вирус все еще не активеничает. Ссылка на комментарий Поделиться на другие сайты More sharing options...
KostaMEN Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 "Логи в порядке"-значит на сервере вирус не активен? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 4 августа, 2017 Share Опубликовано 4 августа, 2017 Это значит, что следов вируса и сообщений вымогателя, на сервере найдено не было, и он попал под шифрование по сети Ссылка на комментарий Поделиться на другие сайты More sharing options...
KostaMEN Опубликовано 6 августа, 2017 Автор Share Опубликовано 6 августа, 2017 Как защититься от такого шифрования? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 6 августа, 2017 Share Опубликовано 6 августа, 2017 Отключить общие сетевые ресурсы Ссылка на комментарий Поделиться на другие сайты More sharing options...
KostaMEN Опубликовано 6 августа, 2017 Автор Share Опубликовано 6 августа, 2017 Мне просто не понятно тогда,как произошло заражение. Есть сервер(терминальный),на нем пару расшареных папок. И пять пользователей,которые работают удаленно. Всё. Машины пользователей чистые,сервер чистый,сообщений вымогателя нигде нет. Откуда прилетело? Обычно такой вирус оставляет сообщение и текстовый файл куда деньги слать) А тут просто все зашифровано и тишина... Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 6 августа, 2017 Share Опубликовано 6 августа, 2017 Значит не все пользователи честны. Мы помочь ничем не можем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти