KostaMEN 0 Опубликовано 3 августа, 2017 Share Опубликовано 3 августа, 2017 (изменено) Заражение произошло на сервере терминалов под Windows Server 2008R2. Заражен один пользователь и расшареная папка к которой был доступ. CollectionLog-2017.08.03-22.53.zip Изменено 3 августа, 2017 пользователем KostaMEN Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 3 августа, 2017 Share Опубликовано 3 августа, 2017 Сервер стал источником шифрования или компьютер пользователя? Ссылка на сообщение Поделиться на другие сайты
KostaMEN 0 Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 (изменено) Заражение(сервера) произошло с машины пользователя во время терминальной сессии. Сама машина пользователя и ее локальная операционка не пострадали. Поражены папки пользователя находящиеся на сервере. Остальные папки сервера не поражены. Сервер функционирует нормально. Изменено 4 августа, 2017 пользователем KostaMEN Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 4 августа, 2017 Share Опубликовано 4 августа, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
KostaMEN 0 Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 Готово. frst.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 4 августа, 2017 Share Опубликовано 4 августа, 2017 Логи в порядке. С расшифровкой помочь не сможем. Однако не факт, что на компьютере, ставшем источником, вирус все еще не активеничает. Ссылка на сообщение Поделиться на другие сайты
KostaMEN 0 Опубликовано 4 августа, 2017 Автор Share Опубликовано 4 августа, 2017 "Логи в порядке"-значит на сервере вирус не активен? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 4 августа, 2017 Share Опубликовано 4 августа, 2017 Это значит, что следов вируса и сообщений вымогателя, на сервере найдено не было, и он попал под шифрование по сети Ссылка на сообщение Поделиться на другие сайты
KostaMEN 0 Опубликовано 6 августа, 2017 Автор Share Опубликовано 6 августа, 2017 Как защититься от такого шифрования? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 6 августа, 2017 Share Опубликовано 6 августа, 2017 Отключить общие сетевые ресурсы Ссылка на сообщение Поделиться на другие сайты
KostaMEN 0 Опубликовано 6 августа, 2017 Автор Share Опубликовано 6 августа, 2017 Мне просто не понятно тогда,как произошло заражение. Есть сервер(терминальный),на нем пару расшареных папок. И пять пользователей,которые работают удаленно. Всё. Машины пользователей чистые,сервер чистый,сообщений вымогателя нигде нет. Откуда прилетело? Обычно такой вирус оставляет сообщение и текстовый файл куда деньги слать) А тут просто все зашифровано и тишина... Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 6 августа, 2017 Share Опубликовано 6 августа, 2017 Значит не все пользователи честны. Мы помочь ничем не можем. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти