Здравствуйте.
Поймали шифровальщика.
Файлы стали с расширением [[email protected]].adobe
Прошу помощи в его удалении.
Printable View
Здравствуйте.
Поймали шифровальщика.
Файлы стали с расширением [[email protected]].adobe
Прошу помощи в его удалении.
Уважаемый(ая) [B]mjamis[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Активного шифровальщика нет.
За расшифровкой попробуйте обратиться в ТП Dr. Web, если есть лицензия и антивирус был установлен до шифрования.
Да, как оказалось, шифровальщик заразил не только локальные диски, но и сетевые, к которым подключены и другие компьютеры. Неизвестно с какого компьютера и каким способом занесли вирус. Как можно удалить его с других компьютеров и проверить в целом сеть?
Нужно анализировать журналы системы, безопасности на компьютерах, проверять антивирусом. Удалённый доступ в сеть есть? Письма за дату шифрования проверяли?
Это хорошая задача для аудита безопасности, платного, по результатам которого вам дадут рекомендации, для выполнения которых, вероятно, придётся потратить много времени, сил, и денег.
Рекомендации по предотвращению шифрования есть в интернете. Любой современный корпоративный антивирус имеет средства для недопущения работы шифровальщиков, даже, если в базах его нет.
Да, через RDP доступ к сети есть, но вирус начал распространяться, судя по файлам, в 8 часов вечера, когда в офисе уже никого не было, работали только серваки. Спасибо огромное за помощь.
Но доступ из интернета по RDP в это время был? Могли взломать. Защита от брутфорса (блокировка после какого-то количества ошибочных вводов пароля) включена в политиках?