Последствия деятельности шифоровальщика pussylikeashavel
Здравствуйте! Столкнулся с последствиями деятельности шифровальщика. Переживаю за последствия, а также из-за того, что не понимаю, какие действия к этому привели. Если судить по дате и времени изменения файлов, самого ночью дома не было, и вроде бы компом никто не пользовался. Зашифрованы *.zip файлы на шаре, которая крутится на домашнем NAS на Windows 2016. Пострадали файлы только в одной папке, частично, за интервал времени 3-4 минуты, потом будто процесс остановился. У файлов добавилось в расширении [email protected], в корневом оставлено письмо с вымоганием. Помогите, пожалуйста проанализировать, как такое могло произойти, и, по возможности, побороть последствия.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) neuroknot, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
O27 - Account: (RDP Group) User 'Администратор' is a member of Remote desktop group
Крайне не рекомендуется использовать учётку встроенного администратора, тем более, давать ей права удалённого доступа. Нужно использовать другого пользователя с административными правами, а встроенного - отключать.
Папка эта расшарена? Есть вероятность. что шифровать могли по сети с другого домашнего устройства?
Расшарен диск с папкой, которая подверглась воздействию шифровальщика, на NAS под Windows Server 2016, шара по SMB. К ней имеют доступ по 2-3 компьютера. Вполне могли шифровать с любого из них.
Сообщение от Vvvyg
Крайне не рекомендуется использовать учётку встроенного администратора, тем более, давать ей права удалённого доступа. Нужно использовать другого пользователя с административными правами, а встроенного - отключать.
Понял. Устраню. Спасибо большое за ответ и рекомендации! Если требуется, соберу информацию со всех компьютеров.
Папка эта расшарена? Есть вероятность. что шифровать могли по сети с другого домашнего устройства?
Расширен диск с папкой, содержимое которой которая подверглась воздействию шифровальщика. Папка находится на NASA на Windows Serfver 2016, расшарена по SMB. К сетевому диску имеют доступ 2-3 компьютера. Шифрование, видимо, могло проводится с любого из них. Для меня главная интрига, запущен зловред пользователем с местной машины, или же настолько все плохо, что это сделали по удаленке в том или ином виде?
Сообщение от Vvvyg
Крайне не рекомендуется использовать учётку встроенного администратора, тем более, давать ей права удалённого доступа. Нужно использовать другого пользователя с административными правами, а встроенного - отключать.
Ответить с цитированием
Сообщение от neuroknot
