Шифровальщик .Gust

17 июня, 2018

Здравствуйте, вирус зашифровал файлы на серверах, обычные компьютеры не шифровал.

FrstAddition1.zip

Encrypted1.zip

FrstAddition2.zip

Encrypted2.zip

CollectionLog1-2018.06.17-16.04.zip

CollectionLog2-2018.06.17-16.35.zip

Изменено 17 июня, 2018 пользователем stiN

17 июня, 2018

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

17 июня, 2018

исправил

17 июня, 2018

2018-06-17 03:09:56 ----D---- C:\бэкапы

Так бэкапы не делают. Выйдет из строя диск и все ваши бэкапы пойдут коту под хвост.

Прикрепите C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html .

17 июня, 2018

Насколько я помню этот каталог не использовался для резервного копирования, да и находится на зеркальном рейде, но благодарю за напоминание.

прикрепляю файл-сообщение с сервера №2

how_to_back_files2.zip

17 июня, 2018

Файлы зашифрованы с помощью GlobeImposter 2.0. На форуме с расшифровкой не поможем, возможно смогут помочь в техподдержке, но шансов немного.

17 июня, 2018

Спасибо. Неужели заражение произошло через брутофорс RDP? Но ведь надо угадать имена пользователей плюс сложный пароль...

17 июня, 2018

Неужели заражение произошло через брутофорс RDP?

Именно так.

Но ведь надо угадать имена пользователей плюс сложный пароль...

Это не обязательно. Можно сломать и с помощью эксплойта к RDP. Примерно в час ночи 17 июня залезли:

2018-06-17 01:14 - 2018-06-08 23:04 - 000054784 _____ C:\Users\Администратор\AppData\Local\svchost.exe

Файл удалите вручную.

17 июня, 2018

Файл этот на обоих компах? А как защититься от эксплойта RDP? Поможет только VPN?

17 июня, 2018

На будущее:

1 тема - 1 компьютер.

Да, на обоих. На втором в 2:40 ночи запускали.

2018-06-17 02:41 - 2018-06-08 23:04 - 000054784 _____ C:\Users\Администратор.EFG\AppData\Local\svchost.exe

2018-06-17 03:08 - 2018-06-17 03:13 - 000000000 ____D C:\Users\Администратор.EFG\AppData\Roaming\Process Hacker 2

Похоже антивирус этим выгружали.

А как защититься от эксплойта RDP?

Устанавливать своевременно доступные обновления на сервер через центр обновлений Windows. Используйте антивирусное ПО. Если интересно, то посмотрите в интернете как ломают дедики.

Поможет только VPN?

VPN от эксплойта не спасет, хотя он и усложняет атаку на RDP.

Шифровальщик .Gust

Рекомендуемые сообщения

stiN

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

stiN

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

stiN

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

stiN

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

stiN

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum