• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Вирус-шифровальщик [CS 1.7.0.1][laud@tuta.io]

Статус
В этой теме нельзя размещать новые ответы.

TryWay

Новый пользователь
Сообщения
2
Реакции
0
Один сервер улетел с системой, но он мне и не важен.
На двух других пошифровало файлы только в определенных файлах. А конкретно это фото jpg много фото... очень много.
На папках которые пошифровало был доступ Everyone и включена учетка Гость.

Сейчас интересует есть ли еще опасность? Может ли этот вирус оставаться у кого то на ПК.
И самое главное какой пользователь и с какого ПК зашел? Или это через RDP зашли (порт не стандартный) ?

Очень надеюсь на помощь в ответе на вопросы, на расшифровку файлов не надеюсь... Это был бы уже предел мечтаний, но понимаю, что ситуация сложная.

Файлы прикрепил.
 

Вложения

  • Addition.txt
    20.1 KB · Просмотры: 2
  • Fax.zip
    313.6 KB · Просмотры: 2
  • FRST.txt
    16.6 KB · Просмотры: 2
Оба администратора ваши?
Admin (S-1-5-21-4205360293-4197478740-3474369385-1001 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-4205360293-4197478740-3474369385-500 - Administrator - Enabled) => C:\Users\Administrator
И самое главное какой пользователь и с какого ПК зашел? Или это через RDP зашли (порт не стандартный) ?
Могут остаться бекдоры (скорее всего могли добавить еще одного админа)... но скорее всего шифровали доступные сетевые шары, а взломана одна машина.

Насчет взлома:
1. Нестандартный порт RDP не панацея.... даже совсем не панацея.
2. Старая непатченная ОС делает бесполезными даже сложные пароли RDP.
3. Сложные пароли и патченная ОС не спасут от взлома если не стоит защита от подбора пароля.
Скрывайте RDP за VPN и задумайтесь о нормальной защите периметра. +++ microsoft/SecCon-Framework


Насчет расшифровки, это похоже новый крякл и шансов практически нет. При наличии лицензии можете обратиться в службу поддержки DrWeb или ЛК, пусть тоже посмотрят.
 
Оба наши.
К сожалению используем Symantec как быть покупать лицензию для обращения?
 
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу