Перейти к содержанию
Правила раздела
Сезон прогнозов — 2020!

Взломали VPS, а потом и компьютер

f1ne
 Share Подписчики 1

Рекомендуемые сообщения

f1ne

f1ne 0

Опубликовано
Опубликовано

Здравствуйте. 2 октября у меня сбрутили VPS, пароль был легкий, сервер только купили и еще не настроили, ничего важного там не было. Я удалил сервер и в тот же день мне на почту пришло письмо, что меня взломали с требованием выплатить 650$ в течении 2 дней, оно пришло на почту, которой я не пользуюсь, поэтому я не увидел письмо. Потом в конце октября гугл выкинул меня из аккаунта на всех устройствах, сказал что у меня на компе вредоносное ПО, а на почту пришли письма что взломаны меил ру и яндекс. Я скачал Kaspersky Virus Removal Tool, проверил весь компьютер, ничего не найдено. Скачал винду с ноутбука на флешку, в выключенный компьютер вставил флешку и поставил свежую винду с сохранением старых файлов в Windows.old, потому что там важные для меня файлы. Потом поменял везде пароли и постаивл вторую винду на другой раздел, где поставил bitlocker (чтобы из 1 винды не взломали 2). При копировании файлов с 1 винды на 2, в конце у меня проводник взбесился, стал жрать 2 гб озу, 25% ЦП и я его убил через минуту. Первую винду ставил 1 ноября, а вторую 2 ноября. Сегодня заметил на другой уже почте 2 письма с датами 1 и 2 ноября с требованием выплатить 650$. Те файлы с удаленной винды я не запускал, только копировал, ничего подозрительного я тоже не качал больше, только официальные программы тип chrome, 7-zip, vs code и другие. Что мне делать? Как сохранить файлы и поможет ли полная очистка диска? Каким образом он с VPS сервера проник мне на компьютер, если я от туда ничего не копировал и туда ничего не копировал после взлома? Прикрепляю 1 из писем. Гугл подсказывает, что это какие-то фейк письма, но как-то уж подозрительно сходится с датами установи свежей винды и датой взлома VPS.Screenshot_1.thumb.png.d25e8890d7ae89fdaca87494c9d83f97.png

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 566

Опубликовано
Опубликовано
40 минут назад, f1ne сказал:

в тот же день мне на почту пришло письмо, что меня взломали с требованием выплатить 650$

Скорее всего со взломом сервера это просто совпало. Почитайте про этот развод: Взлом почты или порношантаж на $864

 

Мне в папку Спам, тоже регулярно подобные письма попадают.

 

По поводу ОС, если подозреваете, что она заражена, то собирайте логи согласно правилам:

Порядок оформления запроса о помощи

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Mi5h9gun
      Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash
      От Mi5h9gun
      Добрый день!
      Поймал шифровальщика запустив скачанный файл: Ключи активации на 365 дней.rar
      Так переименовались  зашифрованные файлы: 18430 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash
      Судя по времени создания - файлы шифровались в течении часа. После была перезагрузка и шифрование остановилось.
      ОС переустановлена. Требований злоумышленника нет.
      Вирусный файл сохранился.
      Заранее благодарен.
      FRST.txt Addition.txt Зашифрованные.rar
    • Milana Kastoeva
      Подскажите пожалуйста как избавиться от этой заразы?Вирус обежврежен
      От Milana Kastoeva
      Процесс  c:\program files (×86)\netshield kit\netshieldsvc.exe все время вылетает на экране компьютера "угроза обезврежена" 
      URL-адрес tcp://62.112.11.43:443
       

    • france
      шифровальщик reddragon000@protonmail.ch sel4
      От france
      Добрый день, поймали шифровальщика, требуется помощь в дешифровке. Файл лога во вложении.
      CollectionLog-2020.07.21-10.56.zip
    • Alexander Kartashov
      Вымогатель .ncov
      От Alexander Kartashov
      Помогите узнать\понять, возможно ли расшифровать хоть каике-то данные?
       
       
      Приложил
       
       
       
      thyrex сказал(а) 24 Фев 2020 - 22:28:
       
      Прикрепил
      https://drive.google...ujidp1UbrQp-FNo
       
       
       
       
       
       
      thyrex сказал(а) 25 Фев 2020 - 22:08:
       
      Цитирую:
       
      SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 31.03.2020 13:58:09 Path starting: C:\Users\adm\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: adm VersionXML: 7.36is-30.03.2020 ___________________________________________________________________________   Windows 10(6.3.18363) (x64) Professional Версия: 1909 Lang: Russian(0419) Дата установки ОС: 06.03.2020 22:59:48 Статус лицензии: Windows®, Professional edition Windows находится в режиме уведомления Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок окончания начального льготного периода: 8163 мин. Режим загрузки: Normal Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe) Системный диск: C: ФС: [NTFS] Емкость: [111.2 Гб] Занято: [70.9 Гб] Свободно: [40.3 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.719.18362.0 Контроль учётных записей пользователя включен (Уровень 3) Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба работает Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена Восстановление системы отключено ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2016 x64 v.16.0.4266.1001 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и обновлен) --------------------------- [ OtherUtilities ] ---------------------------- Foxit Reader v.9.0.0.29935 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ K-Lite Mega Codec Pack 14.7.5 v.14.7.5 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- WinRAR 4.10 (64-разрядная) v.4.10.0 Внимание! Скачать обновления --------------------------------- [ SPY ] --------------------------------- UltraVnc v.1.2.2.4 Внимание! Программа удаленного доступа! ------------------------------- [ Browser ] ------------------------------- Google Chrome v.80.0.3987.149 ------------------ [ AntivirusFirewallProcessServices ] ------------------- C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2003.8-0\MsMpEng.exe v.4.18.2003.8 C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2003.8-0\NisSrv.exe v.4.18.2003.8 Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает ---------------------------- [ UnwantedApps ] ----------------------------- SpyHunter 5 v.5.8.10.170 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. SpyHunter 5 Kernel Monitor (ShMonitor) - Служба работает C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe v.5.8.10.170 C:\Program Files\EnigmaSoft\SpyHunter\SpyHunter5.exe v.5.8.10.170 C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe v.5.8.10.170 ----------------------------- [ End of Log ] ------------------------------   
    • cyberstory
      Как обнаружить скрытый майнер
      От cyberstory
      Друзья,возник такой вопрос-как найти вшитый скрытый майнер в программе заархивированнной в winrar архиве?Т.е как его обнаружить на наличие или нет.И при этом иметь доказательные факты.
×
×
  • Создать...