• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Вирус-шифровальщик [CS 1.7.0.1][laud@tuta.io]

TryWay

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Один сервер улетел с системой, но он мне и не важен.
На двух других пошифровало файлы только в определенных файлах. А конкретно это фото jpg много фото... очень много.
На папках которые пошифровало был доступ Everyone и включена учетка Гость.

Сейчас интересует есть ли еще опасность? Может ли этот вирус оставаться у кого то на ПК.
И самое главное какой пользователь и с какого ПК зашел? Или это через RDP зашли (порт не стандартный) ?

Очень надеюсь на помощь в ответе на вопросы, на расшифровку файлов не надеюсь... Это был бы уже предел мечтаний, но понимаю, что ситуация сложная.

Файлы прикрепил.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Оба администратора ваши?
Admin (S-1-5-21-4205360293-4197478740-3474369385-1001 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-4205360293-4197478740-3474369385-500 - Administrator - Enabled) => C:\Users\Administrator
И самое главное какой пользователь и с какого ПК зашел? Или это через RDP зашли (порт не стандартный) ?
Могут остаться бекдоры (скорее всего могли добавить еще одного админа)... но скорее всего шифровали доступные сетевые шары, а взломана одна машина.

Насчет взлома:
1. Нестандартный порт RDP не панацея.... даже совсем не панацея.
2. Старая непатченная ОС делает бесполезными даже сложные пароли RDP.
3. Сложные пароли и патченная ОС не спасут от взлома если не стоит защита от подбора пароля.
Скрывайте RDP за VPN и задумайтесь о нормальной защите периметра. +++ microsoft/SecCon-Framework


Насчет расшифровки, это похоже новый крякл и шансов практически нет. При наличии лицензии можете обратиться в службу поддержки DrWeb или ЛК, пусть тоже посмотрят.
 

TryWay

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Оба наши.
К сожалению используем Symantec как быть покупать лицензию для обращения?
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 
Сверху Снизу