• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

О защите от шифровальщиков Cryakl версии CS 1.6.id-.fname.cs16

Necytij

Новый пользователь
Сообщения
7
Реакции
1
Доброго времени суток вам.

Поймали по rdp шифровальщик, судя по всему через BlueKeep. Как я смотрю сейчас популярна тема шифровальщиков, и обходить вопросы защиты от них не стоит. Не знал, что проблема принимает настолько широкие обороты.
1. Как я понял, CS версию 1.6 лечить у вас пока нет реальной возможности, есть ли аналогичные проекты где эту помощь, может быть даже платно, можно получить?
Нашёл только ваш проект и nomoreransom, ну и видел ваши сообщения на форуме Касперского.
2. Есть ли надежда на то, что в скором времени будет найден вариант расшифровки?
2.б) Нужно ли в таком случае сохранять совместно с важными данными на восстановление, примеров шифрованное/оригинальное и manual.exe с рабочего стола? Из системной памяти он уже был выгружен.
3. Можете ли, пожалуйста, посоветовать более менее продуктивные инструкции по обезопасиванию от таких угроз своими силами? Ведь мало кому по карману профессиональный аудит и наладка.
Чтобы не только восстановить впоследствии, но и на какие моменты нужно обратить внимание, чтобы ситуация не происходила. Видел простейшие рекомендации:
а) Антивирус
б) по поводу открытия файлов из почты
в) запуска подозрительных файлов
г) обновлений системы...
д) обновлять прошивки железа системных блоков, роутеров я так понимаю тоже крайне желательно
просто обновления периодически страшно делать, несколько раз натыкался(3-4 шт, около 1% обновлений, но всё же) на случаи когда железка превращалась в кирпич/падала система при обновлениях.
е) уже сложнее и нужны знания - настройка файрволов.
 
1. Платную помощь можно получить (пока) только у преступников или посредников которые перепродают дешифровщики.
2. Неизвестно не так давно арестовали сервер с ключами, но взломают ли криптоконтейнер неизвестно. Да и мастер-ключи уже сменили (скорее всего) и свежие версии уже не будет возможности рассшифровать.

2.б) Нужно ли в таком случае сохранять совместно с важными данными на восстановление, примеров шифрованное/оригинальное и manual.exe с рабочего стола? Из системной памяти он уже был выгружен.
Если информация не устареет через краткий промежуток времени, то да... но без тела шифровальщика, оно бесполезно при расшифровке.

3. А тут индивидуально все, самое простое:
- сложные пароли
- блокировка пользователя при попытке брута через RDP
- сменить стандартный порт RDP
- бекапить данные на отдельный диск/железку по логину/паролю, иначе зашифруют как сетевую шару.
- запретите запускать исполняемые файлы из почты (например: https://safezone.cc/threads/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.28159/)
- никаких пользователей-администраторов

И сложное средство, пускать к RDP только через VPN с авторизацией.
 
Спасибо большое за советы. С VPN + RDP немного знаком, но такое подключение добавляет сложности к подключению пользователя, поэтому редко очень пользовались. Да и в протоколах VPN (пользовался L2TP с предварительной фразой, но без сертификатов) могут быть свои дыры, как и в ситуации с BlueKeep, нужно прям следить за ситуацией.
 
Доброго времени суток вам.

Поймали по rdp шифровальщик, судя по всему через BlueKeep. Как я смотрю сейчас популярна тема шифровальщиков, и обходить вопросы защиты от них не стоит. Не знал, что проблема принимает настолько широкие обороты.
1. Как я понял, CS версию 1.6 лечить у вас пока нет реальной возможности, есть ли аналогичные проекты где эту помощь, может быть даже платно, можно получить?
Нашёл только ваш проект и nomoreransom, ну и видел ваши сообщения на форуме Касперского.
2. Есть ли надежда на то, что в скором времени будет найден вариант расшифровки?
2.б) Нужно ли в таком случае сохранять совместно с важными данными на восстановление, примеров шифрованное/оригинальное и manual.exe с рабочего стола? Из системной памяти он уже был выгружен.
3. Можете ли, пожалуйста, посоветовать более менее продуктивные инструкции по обезопасиванию от таких угроз своими силами? Ведь мало кому по карману профессиональный аудит и наладка.
Чтобы не только восстановить впоследствии, но и на какие моменты нужно обратить внимание, чтобы ситуация не происходила. Видел простейшие рекомендации:
а) Антивирус
б) по поводу открытия файлов из почты
в) запуска подозрительных файлов
г) обновлений системы...
д) обновлять прошивки железа системных блоков, роутеров я так понимаю тоже крайне желательно
просто обновления периодически страшно делать, несколько раз натыкался(3-4 шт, около 1% обновлений, но всё же) на случаи когда железка превращалась в кирпич/падала система при обновлениях.
е) уже сложнее и нужны знания - настройка файрволов.

У нас взломали. Бекапов нет. Ищем программистов для задачи расшифровать. У вас есть какие-то новости? Это возможно?
 
У нас взломали. Бекапов нет. Ищем программистов для задачи расшифровать. У вас есть какие-то новости? Это возможно?
Нам пока помочь не могут. В вашем случае вопрос о том "что" вас зашифровало, каждый случай индивидаулен. Следует создать отдельную тему и даже если вы полагаете что ваш шифровщик сейчас не может быть дешифрован, то зарегистрироваться, создать новую тему тут помощь в расшифровке и согласно правила оформления запроса ее заполнить, потому что несведущим людям легче ошибиться с выводами и выбором инструментов.
 
Тот же шифровальщик, что и у вас. У нас есть уже тема. Только не я автор. И она сейчас скрытая от всех, и от меня. Собираю информацию. Бездействие выматывает.
 
Назад
Сверху Снизу