Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

шифровальщик на контролере домена

a.kashirin@inbox.ru
 Поделиться

Рекомендуемые сообщения

a.kashirin@inbox.ru Новичок

a.kashirin@inbox.ru

Опубликовано
Опубликовано

Поймали шифровальщик на контролер домена, в корне С файл с текстом "write your country and server ip to tapok@tuta.io" В AD у пользователей изменены пароли, изменить не получается, создать нового пользователя тоже не получается. Win 2012 R2. Курейт ничего не нашёл.

CollectionLog-2019.03.13-12.16.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Сделайте внешними средствами (например, Акронисом) резервную копию системы, затем:

"Пофиксите" в HijackThis:

O7 - TroubleShooting: (EV) HKCU\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2351134484-3091384311-792247948-1122\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2351134484-3091384311-792247948-1122\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
Перезагрузите компьютер и соберите новый CollectionLog.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
a.kashirin@inbox.ru Новичок

a.kashirin@inbox.ru

Опубликовано
  • Автор
Опубликовано

по данному серверу проблема не актуальна, восстановили из бэкапа. Данная проблема осталась на др сервере, по нему новую тему создавать?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rcbsbss
      Зашифрованы сервера и компьютеры входящие в домен
      Автор rcbsbss
      Сегодня были зашифрованы сервера и компьютеры входящие в домен. В результате при включении компьютера появляется сообщение "Обратитесь в телеграмм...". Пользователь телеграмм @dchelp. Был установлен антивирус Касперского с новыми базами, он пропустил. Сервер Касперского также был заражен. Просим помочь!!!
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • KL FC Bot
      Google OAuth: атака через заброшенные домены | Блог Касперского
      Автор KL FC Bot
      Чуть больше года назад в посте Google OAuth и фантомные аккаунты мы уже обсуждали, что использование опции «Вход с аккаунтом Google» в корпоративные сервисы дает возможность сотрудникам создавать фантомные Google-аккаунты, которые не контролируются администратором корпоративного Google Workspace и продолжают работать после оффбординга. Недавно выяснилось, что это не единственная проблема, связанная с OAuth. Из-за недостатков этого механизма аутентификации любой желающий может получить доступ к данным многих прекративших деятельность организаций, перерегистрировав на себя брошенные компаниями домены. Рассказываем подробнее об этой атаке.
      Как работает аутентификация при использовании «Вход с аккаунтом Google»
      Некоторые могут подумать, что, доверяя опции «Вход с аккаунтом Google», компания получает надежный механизм аутентификации, использующий продвинутые технологии Google и широкие возможности интернет-гиганта по мониторингу пользователей. Однако на деле это не так: при входе с Google OAuth применяется достаточно примитивная проверка. Сводится она, как правило, к тому, что у пользователя есть доступ к почтовому адресу, который привязан к Google Workspace организации.
      Причем, как мы уже говорили в предыдущем материале о Google OAuth, это вовсе не обязательно Gmail — ведь привязать Google-аккаунт можно совершенно к любой почте. Получается, что при использовании «Входа с аккаунтом Google» доступ к тому или иному корпоративному сервису защищен ровно настолько надежно, насколько защищен почтовый адрес, к которому привязан Google-аккаунт.
      Если говорить несколько более подробно, то при аутентификации пользователя в корпоративном сервисе Google OAuth отправляет этому сервису следующую информацию:
      В теории в ID-токене Google OAuth есть уникальный для каждого Google-аккаунта параметр sub, но на практике из-за проблем с его использованием сервисы проверяют лишь домен и адрес электронной почты. Источник
       
      View the full article
    • Kirill-Ekb
      Шифровальщик ELENOR-corp
      Автор Kirill-Ekb
      Приветствую
       
      По RDP в локальной сети распространился и зашифровал файлы ELENOR-corp на нескольких компьютерах.
      Во вложении файлы диагностики Farbar Recovery Scan Tool и архив с требованием и двумя небольшими зашифрованными файлами - всё с одного компьютера.
      Также есть файл вируса - готов предоставить по необходимости
      Основная цель: расшифровать файлы
      Addition.txt FRST.txt Требование и пример файлов.7z
×
×
  • Создать...