ib52 0 Опубликовано 28 июня, 2018 Share Опубликовано 28 июня, 2018 Добрый день! Зашифрованы все файлы оказавшиеся доступными шифровальщику. Прилагаю логи от: - autologger - frst - пример зараженного файла и инструкцию вімогателя. Интересует: - возможность расшифровки файлов? - способ проникновения шифровальщика на сервер? Уязвимости RDP? Слабые пароли подобрали? Иное? Заранее благодарю! CollectionLog-2018.06.28-12.55.zip FRST.zip example.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 28 июня, 2018 Share Опубликовано 28 июня, 2018 Здравствуйте! Уязвимости RDP?Вполне вероятно. Поэтому смените пароль. возможность расшифровки файловУвы, это GlobeImposter 2.0 и расшифровки нет. Если нужна помощь в очистке системы, переделайте логи из консоли, а не из терминальной сессии. Ссылка на сообщение Поделиться на другие сайты
ib52 0 Опубликовано 28 июня, 2018 Автор Share Опубликовано 28 июня, 2018 Спасибо! Все пароли сменены сразу после принятия в работу этого пострадавшего. На момент шифрования ситуация с паролями была уязвимой по моей оценке. Чистить не вижу смысла, переустановка оптимальнее. Основной ущерб - пользовательские базы. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 28 июня, 2018 Share Опубликовано 28 июня, 2018 Переустановка - не лучший вариант, если надеетесь, что в будущем появится инструмент для расшифровки. Не исключено, что понадобятся файлы, которые Вы не перенесете. Уязвимые места можете проверить: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Ссылка на сообщение Поделиться на другие сайты
ib52 0 Опубликовано 28 июня, 2018 Автор Share Опубликовано 28 июня, 2018 Спасибо ! Думаю будет сохранен hdd целиком, возможно даже физически его изымем. Результат скрипта: Поиск критических уязвимостей MS17-010: Обновления безопасности для Windows SMB Server http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu Установите новый Internet Explorer https://windows.microsoft.com/ru-ru/internet-explorer/download-ie Накопительное обновление системы безопасности для битов аннулирования ActiveX https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=dd7cc36b-bb4e-4548-8d9c-43c6dd6cb78e Уязвимость в ядре Windows может допустить повышение уровня полномочий https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5e494723-75d9-4245-8895-3fd5be147cf4 Уязвимость в MSXML делает возможным удаленное выполнение кода https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5bc692f6-11a3-423b-90ff-2f599fe6fdd9 Обнаружено уязвимостей: 5 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти