Перейти к содержанию
Правила раздела

Взломали VPS, а потом и компьютер

f1ne

Автор f1ne,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

f1ne

f1ne 0

Опубликовано
Опубликовано

Здравствуйте. 2 октября у меня сбрутили VPS, пароль был легкий, сервер только купили и еще не настроили, ничего важного там не было. Я удалил сервер и в тот же день мне на почту пришло письмо, что меня взломали с требованием выплатить 650$ в течении 2 дней, оно пришло на почту, которой я не пользуюсь, поэтому я не увидел письмо. Потом в конце октября гугл выкинул меня из аккаунта на всех устройствах, сказал что у меня на компе вредоносное ПО, а на почту пришли письма что взломаны меил ру и яндекс. Я скачал Kaspersky Virus Removal Tool, проверил весь компьютер, ничего не найдено. Скачал винду с ноутбука на флешку, в выключенный компьютер вставил флешку и поставил свежую винду с сохранением старых файлов в Windows.old, потому что там важные для меня файлы. Потом поменял везде пароли и постаивл вторую винду на другой раздел, где поставил bitlocker (чтобы из 1 винды не взломали 2). При копировании файлов с 1 винды на 2, в конце у меня проводник взбесился, стал жрать 2 гб озу, 25% ЦП и я его убил через минуту. Первую винду ставил 1 ноября, а вторую 2 ноября. Сегодня заметил на другой уже почте 2 письма с датами 1 и 2 ноября с требованием выплатить 650$. Те файлы с удаленной винды я не запускал, только копировал, ничего подозрительного я тоже не качал больше, только официальные программы тип chrome, 7-zip, vs code и другие. Что мне делать? Как сохранить файлы и поможет ли полная очистка диска? Каким образом он с VPS сервера проник мне на компьютер, если я от туда ничего не копировал и туда ничего не копировал после взлома? Прикрепляю 1 из писем. Гугл подсказывает, что это какие-то фейк письма, но как-то уж подозрительно сходится с датами установи свежей винды и датой взлома VPS.Screenshot_1.thumb.png.d25e8890d7ae89fdaca87494c9d83f97.png

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 583

Опубликовано
Опубликовано
40 минут назад, f1ne сказал:

в тот же день мне на почту пришло письмо, что меня взломали с требованием выплатить 650$

Скорее всего со взломом сервера это просто совпало. Почитайте про этот развод: Взлом почты или порношантаж на $864

 

Мне в папку Спам, тоже регулярно подобные письма попадают.

 

По поводу ОС, если подозреваете, что она заражена, то собирайте логи согласно правилам:

Порядок оформления запроса о помощи

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Robo
      Шифровальщик .16C-98D-477
      От Robo
      На комп с общей папкой для обмена документами (serv 2008) поймал шифровальщик. В сети работало около 10 пользователей. у одного из них те же симптомы. Подозреваю, что атака на сервер была именно с него(хотя админ прав у пользователя нет), потому что остальные пользователи ничего не подцепили. Зашифровал именно 1 папку(самую нужную), хотя там было еще 2 расшаренные. Скорей всего у пользователя была в момент запуска вируса открыта расшаренная папка.
                Сам вирус имена файлов никак не изменял, размер тоже, в конце расширения файлов изменились на некий персональный ID 16C-98D-477(как я понимаю это гораздо хуже чем если бы расширение было общее как в большинстве тем) поэтому не знал что указать в названии темы. Нашел пару копий файлов на другом компьютере, которые были в папке и зашифровались, то есть могу, если надо, предоставить оригинал и зашифроввнный файл.
                Оба компа проверял 3мя антивирусами(Касперсий, др.веб, нод), которые не нашли вируса в системе.
      Шифр.rar
    • MuxauJI
      Шифровальщик petrov441@protonmail.com
      От MuxauJI
      Добрый вечер так же заразился этим вирусом шифровальщиком вот логи FRST 
      Addition_07-12-2020 17.12.09.txt FRST_07-12-2020 17.12.09.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Антон1974
      petrov441@protonmail.com
      От Антон1974
      Добрый день.
      Такая же проблема. Зашифрованы файлы с указанием этого же адреса petrov441@protonmail.com. Сканирование вирус не выявило. ОС пока не переустанавливал. Просьба помочь. Не очень только понял, что нужно сделать, какие файлы предоставить и какой алгоритм с моей стороны должен быть
       
      Понял, что нужно
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Mi5h9gun
      Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash
      От Mi5h9gun
      Добрый день!
      Поймал шифровальщика запустив скачанный файл: Ключи активации на 365 дней.rar
      Так переименовались  зашифрованные файлы: 18430 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash
      Судя по времени создания - файлы шифровались в течении часа. После была перезагрузка и шифрование остановилось.
      ОС переустановлена. Требований злоумышленника нет.
      Вирусный файл сохранился.
      Заранее благодарен.
      FRST.txt Addition.txt Зашифрованные.rar
    • Milana Kastoeva
      Подскажите пожалуйста как избавиться от этой заразы?Вирус обежврежен
      От Milana Kastoeva
      Процесс  c:\program files (×86)\netshield kit\netshieldsvc.exe все время вылетает на экране компьютера "угроза обезврежена" 
      URL-адрес tcp://62.112.11.43:443
       

×
×
  • Создать...