-
[QUOTE=dimeusss;995960]Ну вот у нас еще один клиент, с такой же фигней как у вас.....Успели выключить сервак...Ломали при нас...ПО РДП...
Сервак успели вырубить...файлы достали 7zip-ом....
На серваке нашли много интересного...выложу позже....
IP с которого ломали...89.237.30.41 Провайдер в Челябинске.... дальше попробуем найти.... БЕГИ ПАРЕНЬ БЕГИ!!!!!!![/QUOTE]
вряд ли вычислишь, мы после этого доступ по РДП напрямую закрыли, теперь только через ssh туннель
рекомендую еще перепроверить юзерские учетки, недопустимо, чтобы кто-нибудь из юзеров имел полномочия администратора, а ведь такое случается...
-
[QUOTE=Tlonik;996005]вряд ли вычислишь, мы после этого доступ по РДП напрямую закрыли, теперь только через ssh туннель
рекомендую еще перепроверить юзерские учетки, недопустимо, чтобы кто-нибудь из юзеров имел полномочия администратора, а ведь такое случается...[/QUOTE]
Ха...самое интересное...
1. Пользователь не имел админских полномочий....был в группе юзеры и уд.раб. стол.При этом ничего не помешало стартануть lockdir.
2. Вход по рдп был выполнен под активным пользователем ... Попался адекватный пользователь-сразу набрал админов...
3. Далее пару попыток зайти на сервер сопровождались входом из вне...
4. На рабочем столе из вне ВРУЧНУЮ запустили lockdir....и скриптик рукописный , который вычищает по таймеру логи журнала (что бы можно было выйти и почистить следы).Скриптик видимо сработать не успел....В логах нашли ip-шник.
5. Судя по характеру зашифрованных папок шифровали выборочно...Сначала папку Бухгалтерия...потом папка Базы...Документы....Эти папки были зашифрованы до состояния расширения RN (тут уже 7zip не помог). Папка с базой была зашифрована но только до начальной папки (файлы удалось достать 7zip-ом). Остальные папки не тронули (или не успели тронуть).
-
Нас тож побил 128596 [email][email protected][/email]
не подскажете кто какие кода вбивает, все перепробовал ничего не помогло, думаю надо собиратся и писать дешифратор...:O
-
Принимайте ключ для 347689 / [EMAIL="[email protected]"][email protected][/EMAIL]
заражение от 23.04.2013
zFM485*$ng4884n5a*%Gnenrenere8ne
пришлось таки купить...
Если кому подойдет - киньте что-нибудь на Яндекс.Деньги 410011864285802
кстати, забрались тоже с 89.237.30.41
-
[QUOTE=milla-vel;995813]ФАЙЛЫ Я СМОГЛА ВЫТАЩИТЬ, НО ВСЕ ФАЙЛЫ ИДУТ С РАСШИРЕНИЕМ RN, У КОГО ПОЛУЧИЛОСЬ ИХ РАСШИФРОВАТЬ???[/QUOTE]
Установите Far Manager 3.0 на компьютер,зайдите через него в скрытую папку tumbs.ms/и скопируйте файл system.db. Запакуйте его WinRar и пришлите мне полученный архив на e-mail:[email protected]!!!:)
-
Вот интересно - два года товарищ [email][email protected][/email] бросает вирусы и никто даже не забанил его ящик - почему :(
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Вопрос к тем кто отбивался - по РДП подбирался пароль или есть дырка через которую могли проникнуть. Не хотелось бы тоже подловиться на такую бяку. Спасибо
-
Скорее всего этот товарищ использовал прогнамму e-mail robot,для генерации любого количества почтовых ящиков с последующей пересылкой на свой реальный скрытый ящик
-
Спасибо тебе брат, три дня уже бъюсь. подощел пароль, закину тебе бабло на яндекс!!!
[QUOTE=SpacerWS;996545]Принимайте ключ для 347689 / [EMAIL="[email protected]"][email protected][/EMAIL]
заражение от 23.04.2013
zFM485*$ng4884n5a*%Gnenrenere8ne
пришлось таки купить...
Если кому подойдет - киньте что-нибудь на Яндекс.Деньги 410011864285802
кстати, забрались тоже с 89.237.30.41[/QUOTE]
-
////
[quote="mtvitalik;996835"]Внимание! У кого номер в системе 128596 и E-mail: [email][email protected][/email]
ключ HFefheSEHfwef4WNFWEhfsdSDFSH45n3[/quote]
-
Помогите,у меня номер 247501!
Нужен срочно ключ к моей системе,компьютер на роботе.
вирус забрал все папки к 1С.Шев сказал что нафиг всех уволит если не избавимся от вируса:(
-
Пришлите мне файл из скрытой папки tumbs.ms\system.db (видно через FarManager 3.0)!!!
-
Добрый день, всем!!
Люди помогите на сервере завелась зараза как lockdir, пришли после праздников на работу и все началось с того что не можем зайти в 1С, при входе попадаем в папку с красным замочком и рядышком jpg файл "выход есть"........ номер в системе 628152 електронка [EMAIL="[email protected]"][email protected][/EMAIL]m , ключи перепровал все не подходят
-
[QUOTE=ZooMMakeR;997714]Помогите,у меня номер 247501!
Нужен срочно ключ к моей системе,компьютер на роботе.
вирус забрал все папки к 1С.Шев сказал что нафиг всех уволит если не избавимся от вируса:([/QUOTE]
Скиньте мне плиз файл из скрытой папки tumbs.ms/system.db (войти в папку можно только под FarManager 3.0)!!! Также 1 из зашифрованных файлов с расширением RN!
-
Помогли тут! i-s.kiev.ua
Все быстро сделали и вытащили все без потери данных и баз!
Обращайтесь!
-
всем привет!
Lockdir 5.6.0.95 убил шару, ссылка на файлы:
[URL]http://rghost.ru/46013235[/URL]
код в системе 769586 на мыло [EMAIL="[email protected]"][email protected][/EMAIL]
помогите плиз, 4 танцую с бубном :(
Доктор ВЭБ написал, что пароль - 29 символов, за разумное время не подобрать.
из списка не работают!
-
Вложений: 3
LockDir- помогите
Помогите пожалуйста с вирусней.
Заранее спасибо, код в системе 769586
-
Вложений: 3
Доброго времени суток!
Прошу помощи с lockdir
128596 почта [email][email protected][/email]
нашел также непонятный текстовый файлик может кто скажет что это!
[ATTACH]419832[/ATTACH]
[ATTACH]419833[/ATTACH]
[ATTACH]419831[/ATTACH]
-
Вложений: 1
[QUOTE]Доброго времени суток!
Прошу помощи с lockdir
128596 почта [email][email protected][/email][/QUOTE]
такая же история:( из списка паролей ничего не подходит.
Зашифрованный файл и system.db в архиве.
-
VSbnvsn3*$VN#NvsVSenveV#*vnSE89d
пароль от [email][email protected][/email] код 159753
пришлось купить. цена вопроса 4500р.
-
Пришлось купить.
Надеюсь поможет кому нибудь код:
SV8vnV*$#nvbvseV̏(#*vvbe74bvE от 769586
410011421107080 мой яндекс кошелек если кому поможет и захочет сказать спасибо)
Главное больше не попадаться на такую херь.
Page generated in 0.01172 seconds with 10 queries