Перейти к содержанию

Шифровальщик .Gust

stiN
 Share Подписчики 0

Рекомендуемые сообщения

stiN

stiN 0

Опубликовано
Опубликовано (изменено)

Здравствуйте, вирус зашифровал файлы на серверах, обычные компьютеры не шифровал.

FrstAddition1.zip

Encrypted1.zip

FrstAddition2.zip

Encrypted2.zip

CollectionLog1-2018.06.17-16.04.zip

CollectionLog2-2018.06.17-16.35.zip

Изменено пользователем stiN
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 990

Опубликовано
Опубликовано

 

2018-06-17 03:09:56 ----D---- C:\бэкапы

Так бэкапы не делают. Выйдет из строя диск и все ваши бэкапы пойдут коту под хвост. 

 

Прикрепите C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html . 

Ссылка на сообщение
Поделиться на другие сайты
stiN

stiN 0

Опубликовано
  • Автор
Опубликовано

Насколько я помню этот каталог не использовался для резервного копирования, да и находится на зеркальном рейде, но благодарю за напоминание.

 

прикрепляю файл-сообщение с сервера №2

how_to_back_files2.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 990

Опубликовано
Опубликовано

Файлы зашифрованы с помощью GlobeImposter 2.0. На форуме с расшифровкой не поможем, возможно смогут помочь в техподдержке, но шансов немного. 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 990

Опубликовано
Опубликовано

 

 

Неужели заражение произошло через брутофорс RDP?

Именно так.

 

 

 

Но ведь надо угадать имена пользователей плюс сложный пароль...

Это не обязательно. Можно сломать и с помощью эксплойта к RDP. Примерно в час ночи 17 июня залезли:

 

 

2018-06-17 01:14 - 2018-06-08 23:04 - 000054784 _____ C:\Users\Администратор\AppData\Local\svchost.exe

Файл удалите вручную.

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 990

Опубликовано
Опубликовано

На будущее:

 

1 тема - 1 компьютер. 

 

Да, на обоих. На втором в 2:40 ночи запускали. 

 

2018-06-17 02:41 - 2018-06-08 23:04 - 000054784 _____ C:\Users\Администратор.EFG\AppData\Local\svchost.exe

 

2018-06-17 03:08 - 2018-06-17 03:13 - 000000000 ____D C:\Users\Администратор.EFG\AppData\Roaming\Process Hacker 2

Похоже антивирус этим выгружали. 

 

А как защититься от эксплойта RDP?

Устанавливать своевременно доступные обновления на сервер через центр обновлений Windows. Используйте антивирусное ПО. Если интересно, то посмотрите в интернете как ломают дедики. 

 

Поможет только VPN?

VPN от эксплойта не спасет, хотя он и усложняет атаку на RDP. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • jirtrestina
      Поймал шифровальщика omygosh@cock.li wаппасаsh
      От jirtrestina
      Здравствуйте. Поймал шифровальщика когда скачивал ключ на nod32. Вирус сам не успел сохранить.
      Addition.txt FRST.txt Desktop.rar
    • FarshikARC
      Поймал шифровальщика предположительно crylock но какой то новый
      От FarshikARC
      Словили вирус шифровальщик, как и почему пока не разобрались. по скринам поход на crylock. но подобрать программу для дешифровки не вышло, по этому предполагаю что он модифицирован. https://cloud.mail.ru/public/B6iu/vtpYdA7QJ - скриншот. Логи с Farbar Recovery Scan Tool в архиве, так же 2 зашифрованных файла. это файлы апачи 2.4 так что если нужны будут оригиналы могу приложить. Еще в архиве .exe который и объясняет как связаться с вымогателями. Вроде все. Пароль к архиву: virus
       
      123 (1).rar
    • artastu
      Восстановление файлов после шифровальщика HYDRA
      От artastu
      Добрый день. На сервер попал шифровальщик. Все файлы теперь с расширением hydra.
      Сделала проверку с помощью Dr Web Live Disk. Были найдены вирусы (скрин вложил). Пролечил. При повторной проверке всё чисто.
      Прошу помощи в восстановлении. 

      CollectionLog-2021.08.31-12.53.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • shon_kostja
      Поймали шифровальщик
      От shon_kostja
      Добрый день. Та же проблема поймали шифровальщик. Прилагаю оригинальный файл и зашифрованный
      11.zip
    • s.evgeny.a
      [РАСШИФРОВАНО] Поймали шифровальшик на сервер
      От s.evgeny.a
      Добрый день! Помогите пожалуйста. На сервере поймали шифровальщик. Файлы прикрепляю
      Файлы.rar
×
×
  • Создать...