Дмитрий_Ц 0 Опубликовано 1 июня, 2018 Share Опубликовано 1 июня, 2018 Был атакован сервер windows 2008 c работающим kaspersky endpoint security 8.0 с почасовым обновлением через RDP (порт не стандартный) под обычным пользователем "бухгалтер" со слабым паролем, С 5 утра он шифровал до 9:20 29.05.18 когда был обнаружен. RDP сеанс был тут же убит. Он зашифровал часть того что было доступно простому пользователю. Но каким то образом с обычными привилегиями удалил теневые копии. Позже антивирус заметил его и внес в карантин. Прилагаю логи, скриншот карантина, архив созданной вирусом папки c:\1 (без файла который попал в карантин касперского) , пример зашифрованных файлов с файлом требования из одного каталога. Файлов требования очень много в каждом каталоге, даже в тех где вирусу не удалось зашифровать из за отсутствия привилегий. CollectionLog-2018.06.02-00.18.zip 1.zip zeman@tutanota.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 1 июня, 2018 Share Опубликовано 1 июня, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Дмитрий_Ц 0 Опубликовано 1 июня, 2018 Автор Share Опубликовано 1 июня, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Addition.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 1 июня, 2018 Share Опубликовано 1 июня, 2018 Ожидайте. ========= Проверьте ЛС Ссылка на сообщение Поделиться на другие сайты
Дмитрий_Ц 0 Опубликовано 2 июня, 2018 Автор Share Опубликовано 2 июня, 2018 УРА!!!!!!! Процесс расшифровки начался по каталогам! !!!! Successfully decrypted 29600 files! Successfully decrypted 25881 files! Successfully decrypted 936 files! .... Вы Гений!!! СПАСИБО!!!!!!!!!!!!!!!!!!!! Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 2 июня, 2018 Share Опубликовано 2 июня, 2018 Спасибо нужно говорить https://twitter.com/demonslay335 Окончательный результат расшифровки сообщите после завершения. Ссылка на сообщение Поделиться на другие сайты
Дмитрий_Ц 0 Опубликовано 13 июня, 2018 Автор Share Опубликовано 13 июня, 2018 Все расшифровано! Спасибо!!! Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 13 июня, 2018 Share Опубликовано 13 июня, 2018 Сообщения от вымогателей удалите вручную. + Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Дмитрий_Ц 0 Опубликовано 14 июня, 2018 Автор Share Опубликовано 14 июня, 2018 SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 14.06.2018 09:29:36 Path starting: E:\Temp\administrator\2\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: administrator VersionXML: 5.12is-07.06.2018 ___________________________________________________________________________ Windows 2008(6.0.6002) Service Pack 2 (x64) ServerStandard Lang: Russian(0419) Дата установки ОС: 03.03.2012 10:03:11 Статус лицензии: Windows Server®, ServerStandard edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Internet Explorer\iexplore.exe Системный диск: C: ФС: [NTFS] Емкость: [83.8 Гб] Занято: [73.1 Гб] Свободно: [10.7 Гб] ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Антивирус Касперского 8.0 для Windows Servers Enterprise Edition v.8.0.0.559 Средства администрирования Антивируса Касперского 8.0 для Windows Servers Enterprise Edition v.8.0.0.559 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR archiver ------------------------------- [ Browser ] ------------------------------- Google Chrome v.49.0.2623.112 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ --------------------------- [ RunningProcess ] ---------------------------- C:\Users\administrator\AppData\Local\Google\Chrome\Application\chrome.exe v.49.0.2623.112 ----------------------------- [ End of Log ] ------------------------------ Насчет Chrome, Он не обновляется т. к. это Windows 2008 Server, купленный официально. Докупать обновление до Server 2012 или 2016 руководство не желает. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 14 июня, 2018 Share Опубликовано 14 июня, 2018 Тогда на этом закончим Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти