Показано с 1 по 8 из 8.

Ещё один случай с chifrator@gmail_com (заявка № 161616)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2014
    Сообщений
    3
    Вес репутации
    13

    Ещё один случай с chifrator@gmail_com

    Добрый день, смотрю за прошедшие выходные пострадало уже с десяток серверов от chifrator@gmail_com

    Сервер под управлением Win2003 EE SP2, взлом очевидно произошёл через RDP, возможно перебором (пользователи как я понимаю имели что-то вроде 123 и особо на этом не заморачивались), после взлома все учётные записи получили дубляж с повышением в правах до root + удалённый рабочий стол. Полагаю после получения доступа был отключён антивирус, руками залиты winlogon.exe и svchost.exe (удалены автоматически KVRT). Системные логи безопасности вычищены. Зашифрованы файлы, ествественно 1С база, все бекапы находящиеся на этом же системном диске удалены. Естественно владельцы сервера своего администратора не имели и последний отброшенный в сторону бекап датируется 2012-ым годом. Готов по запросу дать любую информацию. Вот такие пироги.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    341
    Уважаемый(ая) Bragshtaun, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2014
    Сообщений
    3
    Вес репутации
    13
    Ещё заметил одну вещь, у одного из пользователей был в "загрузках" папки пользователя, файлс расширением .exe определённый как: http://www.securelist.com/ru/descrip...BAT.RA-based.i Был ли он закачан самим пользователем, или уже после взлома злоумышленником, сказать не могу, да это и не важно, главное найти обратный алгоритм шифратора.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,171
    Вес репутации
    1040
    Да это очень грустно особенно когда видишь по логам сразу работу 2 разных шифраторов! А все из-за того что

    перебором (пользователи как я понимаю имели что-то вроде 123 и особо на этом не заморачивались), после взлома все учётные записи получили дубляж с повышением в правах до root + удалённый рабочий стол.
    Логи делайте не через терминальную сессию.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2014
    Сообщений
    3
    Вес репутации
    13
    В общем хорошо поискав, нашли более - менее приемлимый по времени бекап 1С, другая информация важности не представляла. В связи с этим сервер был полностью отформатирован и залит с нуля, поэтому предоставить логи уже не могу. Заявку можно закрывать, спасибо за уделённое время. Учитывая горький опыт, на те же грабли надеюсь товарищи не наступят.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,248
    Вес репутации
    3015
    C:\Program Files\Internet Explorer\index.bat - что в этом файле?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,171
    Вес репутации
    1040
    Цитата Сообщение от thyrex Посмотреть сообщение
    C:\Program Files\Internet Explorer\index.bat - что в этом файле?
    Это остатки от kuzya
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,248
    Вес репутации
    3015
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Шифровальщик chifrator@gmail_com
    От Sergey87 в разделе Шифровальщики
    Ответов: 6
    Последнее сообщение: 23.06.2014, 22:09
  2. Ответов: 6
    Последнее сообщение: 23.06.2014, 21:25
  3. Помогите!!!! chifrator@gmail.com
    От Маков Андрей в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 23.06.2014, 21:16
  4. Шифровальщик chifrator@gmail_com
    От ivasenko в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 17.06.2014, 15:17
  5. uncrpt@gmail_com
    От elthewolf в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.05.2014, 23:52

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01646 seconds with 17 queries