-
Junior Member
- Вес репутации
- 51
ebrunoupx.CR2.exe (вход по RDP червяк , шифрующий )
Картинка 1 в 1 с темой http://virusinfo.info/showthread.php...=1#post1163427
Также вход по RDP
Вплоть до времени атаки - отличается на 10 минут .
у меня в 19-04 отличие только - путь (червяк лежал в другой папке)
Червяк был отловлен Miсrosoft Security Essentials но только после сегодняшнего обновления баз .
Зараженный файл прилагаю . пароль 12345
"Хвостов" не нашел . дешифровать вероятно не потребуется имею бакап от вечера предыдущего дня .
Последний раз редактировалось mike 1; 26.09.2014 в 16:15.
Причина: Вирусное вложение
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Rid_Streenger, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 51
C:\te94decrypt.exe -k 476
и да . ключик подошел .
-
А логи все равно делайте. Если что-то осталось сбрутят снова пароль и опять что нибудь запустят.
http://virusinfo.info/pravila.html
-
-
Junior Member
- Вес репутации
- 51
Сделал и поанализировал , почистил , спасибо за помощь . Я в состоянии пролечить систему сам.
Да и пароли естественно сменил во всей системе ( висели два старых терминальных юзера еще от старого админа вот один из них и оказался слабым местом )
Вчера с
71.43.115.74
81.7.137.130
62.210.122.106
проникли с
178.20.178.31
Город: Ярославль
Регион: Ярославская область
Округ: Центральный федеральный округ
Сегодня атака ведется с
217.25.197.21
Город: Киев
Регион: Киев
Округ: Центральная Украина
пароли и логины явно подбирают прямым перебором по словарю .. варианты User01 или administrator2 и пароли 3-5 символьные.
- - - - -Добавлено - - - - -
После взлома заходили с обнаруженной учеткой с :
109.198.192.144
Город: Брянск
Регион: Брянская область
Округ: Центральный федеральный округ
218.161.121.23
(Тайвань)
Такая география говорит о том что для входа используются такие же взломанные сервера, с запущенным скриптом подбора , а не иной метод проникновения.
Последний раз редактировалось Rid_Streenger; 26.09.2014 в 16:56.