Зашифровало данные .diesel

[Mars70 0]

19 мая в 6 утра запустился шифровальщик на сервере, RDP не настроено, видимо по почте прилетел, зашифровало все данные на сервере и на всех дисках

 

что можно сделать?

Addition.txt

FRST.txt

Shortcut.txt

CollectionLog-2019.05.20-13.41.zip

[thyrex 1 412]

Можно подумать, что у Вас в организации в 6 утра начался рабочий день, и кто-то читал почту в это время. Сами-то в это верите?

 

Это GlobeImposter2. Расшифровки нет.

[Mars70 0]

Можно подумать, что у Вас в организации в 6 утра начался рабочий день, и кто-то читал почту в это время. Сами-то в это верите?

 

Это GlobeImposter2. Расшифровки нет.

А как почистить?

[thyrex 1 412]

Активного вируса в логах нет. Если сообщения вымогателей для связи почистить вручную не хотите, тогда поможем скриптом. Продолжаем?

[Mars70 0]

Активного вируса в логах нет. Если сообщения вымогателей для связи почистить вручную не хотите, тогда поможем скриптом. Продолжаем?

 наверное смысла в этом большого нет, так как все переустанавливать надо, но, дайте рекомендации, как обезопасить ПК и Сервер? Чтобы данное не повторилось!

Активного вируса в логах нет. Если сообщения вымогателей для связи почистить вручную не хотите, тогда поможем скриптом. Продолжаем?

и вы на 100%, что вход был именно по RDP? или можно это как-то узнать?

 

KES 11 с последними обновлениями запустил на каждом ПК, ПК откл от локальной сети,  угроз не обнаружено, еще параллельно запускал утилиту KVRT, я все правильно сделал?

Изменено 20 мая, 2019 пользователем Mars70

[thyrex 1 412]

Самый верный признак шифрования после взлома RDP - время начала шифрования.