Здравствуйте, обнаружил запакованные в архив .rar файлы баз данных 1с sql и файловые базы, и отсутствующие бэкапы. И письмо следущего содержания во вложении. И требованием 40000 рублей за пароль. Пожалуйста помогите. :(
Printable View
Здравствуйте, обнаружил запакованные в архив .rar файлы баз данных 1с sql и файловые базы, и отсутствующие бэкапы. И письмо следущего содержания во вложении. И требованием 40000 рублей за пароль. Пожалуйста помогите. :(
Уважаемый(ая) [B]Олег2020[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Взломать боле-менее длинный (а он такой и есть, не сомневайтесь) пароль к .RAR архиву нереально. Только торговаться со злоумышленником.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe[/code]
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Сделал все как Вы сказали, пофиксил, файл во вложении, подбор не удался.
[QUOTE]Службы удаленных рабочих столов (TermService) - Служба работает[/QUOTE]Взломали, скорее всего, по RDP. Лечить нечего, остаётся только устранить возможность повторного взлома:
Сменить всем, у кого есть права входа по RDP, пароли, установите сложные.
Убрать права администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны. Не
будет возможности при проникновении с правами обычного пользователя удалить теневые копии.
2.3 Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для администрирования через терминал пользуйтесь другими, с
нетипичным, лучше не словарным (типа Natasha, Kirill) именем и сложными паролями.
Включить защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа. Есть более продвинутые варианты с использованием стороннего софта, например: [URL="https://neoserver.ru/help/kak-zashchitit-rdp-podklyuchenie-na-windows-server"]Инструкция по защите RDP подключения[/URL], или возможностей маршрутизатора, для Mikrotik, в частности, есть множество изощрённых рецептов.
Задуматься о внедрении NLA и/или использования какого-либо варианта подключения по VPN. Просто терминальный доступ, даже по нестандартному порту крайне не рекомендуется использовать, если не взломают то заблокируют доступ легитимным пользователям.
Ну, и бэкап, бэкап, и ещё раз бэкап, хранящийся там куда шифровальщик не доберётся, отключаемые внешние носители и т. п.
[QUOTE]ESET Security (выключен и устарел)[/QUOTE]Фактически, антивирус бесполезен, так?
Ну и по мелочам.[QUOTE]7-Zip 15.10 beta (x64) v.15.10 [color=red][b]Данная версия программы больше не поддерживается разработчиком.[/b][/color]. [b]Удалите старую версию, [url=https://www.7-zip.org/download.html]скачайте[/url] и установите новую.[/b]
WinRAR 5.50 (64-bit) v.5.50.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color][/QUOTE]Архиваторы тоже используются в нехороших целях, обновите:
[URL="https://www.anti-malware.ru/news/2019-02-21-1447/28944"]Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей[/URL].
[URL="https://www.securitylab.ru/news/498365.php"]Уязвимость в WinRAR активно эксплуатируется злоумышленниками[/URL].
[URL="https://www.anti-malware.ru/news/2018-05-10-1447/26202"]Критический баг в 7-Zip приводит к выполнению произвольного кода[/URL].