Добрый день, смотрю за прошедшие выходные пострадало уже с десяток серверов от chifrator@gmail_com
Сервер под управлением Win2003 EE SP2, взлом очевидно произошёл через RDP, возможно перебором (пользователи как я понимаю имели что-то вроде 123 и особо на этом не заморачивались), после взлома все учётные записи получили дубляж с повышением в правах до root + удалённый рабочий стол. Полагаю после получения доступа был отключён антивирус, руками залиты winlogon.exe и svchost.exe (удалены автоматически KVRT). Системные логи безопасности вычищены. Зашифрованы файлы, ествественно 1С база, все бекапы находящиеся на этом же системном диске удалены. Естественно владельцы сервера своего администратора не имели и последний отброшенный в сторону бекап датируется 2012-ым годом. Готов по запросу дать любую информацию. Вот такие пироги.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Bragshtaun, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ещё заметил одну вещь, у одного из пользователей был в "загрузках" папки пользователя, файлс расширением .exe определённый как: http://www.securelist.com/ru/descrip...BAT.RA-based.i Был ли он закачан самим пользователем, или уже после взлома злоумышленником, сказать не могу, да это и не важно, главное найти обратный алгоритм шифратора.
Да это очень грустно особенно когда видишь по логам сразу работу 2 разных шифраторов! А все из-за того что
перебором (пользователи как я понимаю имели что-то вроде 123 и особо на этом не заморачивались), после взлома все учётные записи получили дубляж с повышением в правах до root + удалённый рабочий стол.
В общем хорошо поискав, нашли более - менее приемлимый по времени бекап 1С, другая информация важности не представляла. В связи с этим сервер был полностью отформатирован и залит с нуля, поэтому предоставить логи уже не могу. Заявку можно закрывать, спасибо за уделённое время. Учитывая горький опыт, на те же грабли надеюсь товарищи не наступят.
Ответить с цитированием
Сообщение от thyrex
