• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Вирус-шифровальщик [CS 1.7.0.1][[email protected]]

Статус
В этой теме нельзя размещать новые ответы.

TryWay

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Один сервер улетел с системой, но он мне и не важен.
На двух других пошифровало файлы только в определенных файлах. А конкретно это фото jpg много фото... очень много.
На папках которые пошифровало был доступ Everyone и включена учетка Гость.

Сейчас интересует есть ли еще опасность? Может ли этот вирус оставаться у кого то на ПК.
И самое главное какой пользователь и с какого ПК зашел? Или это через RDP зашли (порт не стандартный) ?

Очень надеюсь на помощь в ответе на вопросы, на расшифровку файлов не надеюсь... Это был бы уже предел мечтаний, но понимаю, что ситуация сложная.

Файлы прикрепил.
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,279
Реакции
13,319
Баллы
2,203
Оба администратора ваши?
Admin (S-1-5-21-4205360293-4197478740-3474369385-1001 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-4205360293-4197478740-3474369385-500 - Administrator - Enabled) => C:\Users\Administrator
И самое главное какой пользователь и с какого ПК зашел? Или это через RDP зашли (порт не стандартный) ?
Могут остаться бекдоры (скорее всего могли добавить еще одного админа)... но скорее всего шифровали доступные сетевые шары, а взломана одна машина.

Насчет взлома:
1. Нестандартный порт RDP не панацея.... даже совсем не панацея.
2. Старая непатченная ОС делает бесполезными даже сложные пароли RDP.
3. Сложные пароли и патченная ОС не спасут от взлома если не стоит защита от подбора пароля.
Скрывайте RDP за VPN и задумайтесь о нормальной защите периметра. +++ microsoft/SecCon-Framework


Насчет расшифровки, это похоже новый крякл и шансов практически нет. При наличии лицензии можете обратиться в службу поддержки DrWeb или ЛК, пусть тоже посмотрят.
 

TryWay

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Оба наши.
К сожалению используем Symantec как быть покупать лицензию для обращения?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,680
Реакции
2,060
Баллы
643

akok

Команда форума
Администратор
Сообщения
19,279
Реакции
13,319
Баллы
2,203
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу