-
Student (P)
- Вес репутации
- 48
Подозрение на шифровальщик на серверах
Доброго времени суток, коллеги.
Сегодня был скомпроментированн доступ к RDP на 2х серверах. Появился новый пользователь, который был незамедлительно удалён, а также проведена проверка KVRT, на одном сервере был найден файл andaprbramha.exe, проверил на virustotal, показал Trojan-Ransom.Win32.Cryakl.aog. Пока шифрование не началось, но есть подозрение, что это до перезагрузки.
FRST показал изменения в политиках и AlternateDataStreams
В логе AVZ подозрительного не увидел.
В данный момент делаю бэкапы файлов и баз данных.
собственно вопрос, если делать логи Autologger с зажатым shift, как я понял выполнится 2й скрипт, но будет ли перезагрузка? Или лучше сделать логи по старой схеме? Сервера 2008r2 и 2012.
Заранее спасибо.
PS Политики поправил, больше попасть с "левого" ip не получится.
Последний раз редактировалось Samuray87; 12.01.2017 в 20:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Samuray87, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Student (P)
- Вес репутации
- 48
Прошу закрыть тему
Ответить с цитированием
