Перейти к содержанию

Шифровальщик .Gust

stiN
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано

 

2018-06-17 03:09:56 ----D---- C:\бэкапы

Так бэкапы не делают. Выйдет из строя диск и все ваши бэкапы пойдут коту под хвост. 

 

Прикрепите C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html . 

stiN

stiN

Опубликовано
  • Автор
Опубликовано

Насколько я помню этот каталог не использовался для резервного копирования, да и находится на зеркальном рейде, но благодарю за напоминание.

 

прикрепляю файл-сообщение с сервера №2

how_to_back_files2.zip

mike 1

mike 1

Опубликовано
Опубликовано

Файлы зашифрованы с помощью GlobeImposter 2.0. На форуме с расшифровкой не поможем, возможно смогут помочь в техподдержке, но шансов немного. 

stiN

stiN

Опубликовано
  • Автор
Опубликовано

Спасибо. Неужели заражение произошло через брутофорс RDP? Но ведь надо угадать имена пользователей плюс сложный пароль...

mike 1

mike 1

Опубликовано
Опубликовано

 

 

Неужели заражение произошло через брутофорс RDP?

Именно так.

 

 

 

Но ведь надо угадать имена пользователей плюс сложный пароль...

Это не обязательно. Можно сломать и с помощью эксплойта к RDP. Примерно в час ночи 17 июня залезли:

 

 

2018-06-17 01:14 - 2018-06-08 23:04 - 000054784 _____ C:\Users\Администратор\AppData\Local\svchost.exe

Файл удалите вручную.

stiN

stiN

Опубликовано
  • Автор
Опубликовано

Файл этот на обоих компах? А как защититься от эксплойта RDP? Поможет только VPN?

mike 1

mike 1

Опубликовано
Опубликовано

На будущее:

 

1 тема - 1 компьютер. 

 

Да, на обоих. На втором в 2:40 ночи запускали. 

 

2018-06-17 02:41 - 2018-06-08 23:04 - 000054784 _____ C:\Users\Администратор.EFG\AppData\Local\svchost.exe

 

2018-06-17 03:08 - 2018-06-17 03:13 - 000000000 ____D C:\Users\Администратор.EFG\AppData\Roaming\Process Hacker 2

Похоже антивирус этим выгружали. 

 

А как защититься от эксплойта RDP?

Устанавливать своевременно доступные обновления на сервер через центр обновлений Windows. Используйте антивирусное ПО. Если интересно, то посмотрите в интернете как ломают дедики. 

 

Поможет только VPN?

VPN от эксплойта не спасет, хотя он и усложняет атаку на RDP. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • elemag
      Нас тоже атаковал тот же самый вирус benjamin_jack2811 ransomware.
      Автор elemag
      Здравствуйте друзья,
       
      Нас тоже  атаковал тот же самый вирус benjamin_jack2811 ransomware. Искренне надеюсь, что есть какой-то способ расшифровать данные и восстановить их. Если это поможет, могу Вам отправить два одинаковых файла - один из них незараженный, а другой шифрованный ( зараженный ). Я не знаю может ли это помочь каким-то образом, но это моя последняя надежда в этой неприятной ситуации.
       
      Заранее спасибо!
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы
    • Alexey_juma
      Помощь в расшифровке файлов.
      Автор Alexey_juma
      Добрый день. Утром злоумышленник зашифровал часть файлов на компьютере, в сети и на удаленных серверах. Формат зашифрованных файлов .mark. Зашифрованные файлы имеют формат Autoconfig.ini.mark. Прошу оказать помощь в расшифровке файлов.
      CollectionLog-2018.12.19-11.10.zip
    • IstoD
      Шифровальщик формата .ms
      Автор IstoD
      День добрый, подскажите как расшифровать файл формата .ms
       
      Пароль на архив - infected
      inf.7z
    • g.paluch
      Шифровальщик зашифровал все файлы с разрешением .MS.
      Автор g.paluch
      Ребята помогите! Шифровальщик зашифровал все файлы с разрешением .MS. Что делать?
    • Evgen_
      Шифровальщик crypto.support@aol.com
      Автор Evgen_
      Добрый день !
      Сервер был зашифрован. Компьютер и службы - все работает, но все файлы зашифрованы.
      В требовании прислать денег фигурирует адрес почты crypto.support@aol.com. Подозрения на GlobeImposter.
      Помогите, пожалуйста.

      В приложении логи, пару зашифрованных файлов, страница кому оплатить. Создать расшифровку с помощью virusinfo.info не смог, лог virusinfo_auto_имя_вашего_ПК.zip по видимому слишком большой 350 мб, возможная причина того, что в обратную форму он не грузится (начинает грузить и обрывается, страница не доступна, пробовал с разных ПК и разных браузеров). Могу "virusinfo_auto_SRV-SV.zip" загрузить любым другим образом, как скажите.
      1.zip
×
×
  • Создать...