Решена без расшифровки mryoba@cock.li

[Z-Admin]

Здравствуйте.
Зашифрованы все файлы в сетевой шаре шифровальщиком mryoba@cock.li
при этом на смаом ПК ни чего не затронуто, хотя установлено по логам NAS, что виновник этот ПК.
Тело вируса найти не удалось.

 

[akok]

Зашли через RDP?

Тело после шифрования удаляется автоматом. Для этой версии нет расшифровки, только чистка мусора, или система под переустановку?

 

[Z-Admin]

а вирус был запущен именно под РДП?
что была сессия я вижу по логам
просто к РДП подключен пока ток мобильник с мелким экраном, остановить через него антивирус и лазить запускать оч не просто.

 

[akok]

Да (эта версия распространяется именно так), и учтите, что взломав одну машину (обычно сервер), шифровальщик может зацепить все доступные файлы (сетевые диски) в сети... доступные для записи.

++

https://safezone.cc/bluekeep-2-teper-ujazvimy-vse-novye-versii-windows/

 

[Z-Admin]

но он запускается вместе с подключением реального пользователя, или просто напрямую взламывая РДП?
чем его перекрывать?
Спасибо.

 

[akok]

Спрятать RDP за VPN с авторизацией.

, или просто напрямую взламывая РДП?

Если RDP смотрит в интернет, то или брутят по стандартным учетным записям (админ, администратор и т.д). Или как сейчас используют уязвимость и получают доступ к системе

/blog/2019/08/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/