Показано с 1 по 8 из 8.

Ещё один случай с chifrator@gmail_com (заявка № 161616)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2014
    Сообщений
    3
    Вес репутации
    10

    Ещё один случай с chifrator@gmail_com

    Добрый день, смотрю за прошедшие выходные пострадало уже с десяток серверов от chifrator@gmail_com

    Сервер под управлением Win2003 EE SP2, взлом очевидно произошёл через RDP, возможно перебором (пользователи как я понимаю имели что-то вроде 123 и особо на этом не заморачивались), после взлома все учётные записи получили дубляж с повышением в правах до root + удалённый рабочий стол. Полагаю после получения доступа был отключён антивирус, руками залиты winlogon.exe и svchost.exe (удалены автоматически KVRT). Системные логи безопасности вычищены. Зашифрованы файлы, ествественно 1С база, все бекапы находящиеся на этом же системном диске удалены. Естественно владельцы сервера своего администратора не имели и последний отброшенный в сторону бекап датируется 2012-ым годом. Готов по запросу дать любую информацию. Вот такие пироги.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,269
    Вес репутации
    327
    Уважаемый(ая) Bragshtaun, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2014
    Сообщений
    3
    Вес репутации
    10
    Ещё заметил одну вещь, у одного из пользователей был в "загрузках" папки пользователя, файлс расширением .exe определённый как: http://www.securelist.com/ru/descrip...BAT.RA-based.i Был ли он закачан самим пользователем, или уже после взлома злоумышленником, сказать не могу, да это и не важно, главное найти обратный алгоритм шифратора.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Да это очень грустно особенно когда видишь по логам сразу работу 2 разных шифраторов! А все из-за того что

    перебором (пользователи как я понимаю имели что-то вроде 123 и особо на этом не заморачивались), после взлома все учётные записи получили дубляж с повышением в правах до root + удалённый рабочий стол.
    Логи делайте не через терминальную сессию.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2014
    Сообщений
    3
    Вес репутации
    10
    В общем хорошо поискав, нашли более - менее приемлимый по времени бекап 1С, другая информация важности не представляла. В связи с этим сервер был полностью отформатирован и залит с нуля, поэтому предоставить логи уже не могу. Заявку можно закрывать, спасибо за уделённое время. Учитывая горький опыт, на те же грабли надеюсь товарищи не наступят.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    C:\Program Files\Internet Explorer\index.bat - что в этом файле?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Цитата Сообщение от thyrex Посмотреть сообщение
    C:\Program Files\Internet Explorer\index.bat - что в этом файле?
    Это остатки от kuzya
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Шифровальщик chifrator@gmail_com
    От Sergey87 в разделе Шифровальщики
    Ответов: 6
    Последнее сообщение: 23.06.2014, 22:09
  2. Ответов: 6
    Последнее сообщение: 23.06.2014, 21:25
  3. Помогите!!!! chifrator@gmail.com
    От Маков Андрей в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 23.06.2014, 21:16
  4. Шифровальщик chifrator@gmail_com
    От ivasenko в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 17.06.2014, 15:17
  5. uncrpt@gmail_com
    От elthewolf в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.05.2014, 23:52

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00196 seconds with 22 queries