Перейти к содержанию
Конкурс зашифрованных никнеймов

Шифровальщик .Gust

stiN
 Share Подписчики 0

Рекомендуемые сообщения

stiN

stiN 0

Опубликовано
Опубликовано (изменено)

Здравствуйте, вирус зашифровал файлы на серверах, обычные компьютеры не шифровал.

FrstAddition1.zip

Encrypted1.zip

FrstAddition2.zip

Encrypted2.zip

CollectionLog1-2018.06.17-16.04.zip

CollectionLog2-2018.06.17-16.35.zip

Изменено пользователем stiN
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано

 

2018-06-17 03:09:56 ----D---- C:\бэкапы

Так бэкапы не делают. Выйдет из строя диск и все ваши бэкапы пойдут коту под хвост. 

 

Прикрепите C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html . 

Ссылка на сообщение
Поделиться на другие сайты
stiN

stiN 0

Опубликовано
  • Автор
Опубликовано

Насколько я помню этот каталог не использовался для резервного копирования, да и находится на зеркальном рейде, но благодарю за напоминание.

 

прикрепляю файл-сообщение с сервера №2

how_to_back_files2.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано

Файлы зашифрованы с помощью GlobeImposter 2.0. На форуме с расшифровкой не поможем, возможно смогут помочь в техподдержке, но шансов немного. 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано

 

 

Неужели заражение произошло через брутофорс RDP?

Именно так.

 

 

 

Но ведь надо угадать имена пользователей плюс сложный пароль...

Это не обязательно. Можно сломать и с помощью эксплойта к RDP. Примерно в час ночи 17 июня залезли:

 

 

2018-06-17 01:14 - 2018-06-08 23:04 - 000054784 _____ C:\Users\Администратор\AppData\Local\svchost.exe

Файл удалите вручную.

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано

На будущее:

 

1 тема - 1 компьютер. 

 

Да, на обоих. На втором в 2:40 ночи запускали. 

 

2018-06-17 02:41 - 2018-06-08 23:04 - 000054784 _____ C:\Users\Администратор.EFG\AppData\Local\svchost.exe

 

2018-06-17 03:08 - 2018-06-17 03:13 - 000000000 ____D C:\Users\Администратор.EFG\AppData\Roaming\Process Hacker 2

Похоже антивирус этим выгружали. 

 

А как защититься от эксплойта RDP?

Устанавливать своевременно доступные обновления на сервер через центр обновлений Windows. Используйте антивирусное ПО. Если интересно, то посмотрите в интернете как ломают дедики. 

 

Поможет только VPN?

VPN от эксплойта не спасет, хотя он и усложняет атаку на RDP. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Калинин Евгений
      Помогите расшифровать файлы
      От Калинин Евгений
      Помогите расшифровать файлы. Все файлы во вложении
      Addition.txt FRST.txt RESTORE_FILES_INFO.txt u_ex170709.log.[ID-FE4528A8].[john2wick@tuta.io].zip
    • Krazos
      Поймали шифровальщика (summonunlock@aol.com)
      От Krazos
      Здравствуйте, после ночной атаки был зашифрован сервер. При запуске системы Windows Server 2008 R2 на начальном экране ввода пользователя с паролем происходит автоматическая перезагрузка. 
      Есть шанс на дешифровку? Файлы прилагаю.
      Зашифрованные файлы с текстом вымогателей.rar FRST.txt
    • MatroskinPR
      Большинство файлов на компьютере зашифровали
      От MatroskinPR
      Здравствуйте
      Столкнулся с проблемой зашифрованных файлов на моём пк, в какой момент это произошло и после каких действий сказать точно не могу, так же обнаружил что был удалён антивирус, утром он ещё был.
      Все файлы переименованы с ссылкой {yourdataonline@aliyun.com}, можно ли их спасти?
      Прикрепляю логи и некоторые файлы в том числе и файл с некоторой инструкцией который удалось найти
      Addition.txt FRST.txt Архив WinRAR.rar
      Чуть не забыл про само требование
      RESTORE_FILES_INFO.txt
    • Успех Каждому
      Поймали непонятный шифровальщик VIPxxx
      От Успех Каждому
      Добрый день, сотрудник поймал вирус-шифровальщик на ноутбуке, файлы переименовались в расширение *.*.[ID-215CFE80].[kingkong2@tuta.io].VIPxxx. Логи FRST прислать не могу, т.к из за шифровальщика не запускается система. Прилагаю 2 зашифрованных файла а также записку о выкупе. Что это за название шифровальщика и есть ли решение по расшифровке файлов ?
      Archive.zip
    • kormash
      Файл зашифрован. Пиши. Почта lisasu@elude.in [5218].WANNACASH NCOV v280420
      От kormash
      Файл зашифрован. Пиши. Почта lisasu@elude.in [5218].WANNACASH NCOV v280420 Как нибудь можно расшифровать,буду очень благодарен
      Файл зашифрован. Пиши. Почта lisasu@elude.in [5218].WANNACASH NCOV v280420.zip
×
×
  • Создать...