Добрый день.
На компьютере был взломан RDP и зашифрованы файлы.
Система осталась работоспособна (по крайней мере, на первый взгляд), следов вируса в запущенных процессах не видно.
Во вложении логи работы AutoLogger
Просьба помочь с расшифровкой и очисткой системы от следов шифровальщика.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) maxbm, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Также прикрепите в архиве пару зашифрованных файлов и требование о выкупе.
Следов шифровальщика в системе нет.
Расшифровки тоже.
С таким подходом (вспоминая Вашу предыдущую тему) ломать будут постоянно.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
По результатам дам рекомендации общего характера, как нужно организовать безопасный доступ.
Следов шифровальщика в системе нет.
Расшифровки тоже.
С таким подходом (вспоминая Вашу предыдущую тему) ломать будут постоянно.
Видимо, самоликвидировался шифровальщик. Расшифровывать до обращения в эту тему никто не пытался.
Во вложении результат работы SecurityCheck.
По поводу подхода, тут некоторое недопонимание, полагаю. Я не системный администратор и не специалист по защите и настройке. Я помогаю иногда коллегам, попавшим в беду, сформулировать проблему, собрать сведения и логи и обратиться к вам, как к профи, за помощью. Проблема из прошлой темы как-то решилась, каким образом - я не в курсе.
В данном случае был открыт и активно использовался RDP на стандартном порту - сейчас rdp уже отключен, естественно.
Вам, безусловно, огромное человеческое спасибо за помощь и участие, многих вы просто спасаете.
Смените всем, у кого есть права входа по RDP, пароли, установите сложные.
Уберите права администратора у всех пользователей, кроме тех кому они действительно необходимы, при грамотной настройке прав всем они не нужны. Не будет возможности при проникновении с правами обычного пользователя удалить теневые копии, больше шансов на восстановление файлов после шифрования.
Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для доступа по RDP пользуйтесь другими, с нетипичным, лучше не словарным (типа Natasha, Kirill, User - как в этом случае) именем и сложными паролями.
Включите защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа - Политика блокировки учетной записи.
Использовать доступ по RDP напрямую из интернета - крайне небезопасно, если не взломают, то заблокируют учётки в процессе подбора паролей.
Лучше использовать тоступ по VPN, сейчас это поддерживают многие даже домашние роутеры.
Кстати, В этом случае ещё и веб-интерфейс роутера доступен из интернета, что совсем не правильно.
Спасибо за развернутый ответ и советы по настройке.
Очистка системы будет заключаться исключительно в удалении зашифрованных файлов? Или что-то следует еще проверить?
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Невозможно загрузить лог-файл: его размер 1.13мб, а ограничение на общий объем загруженных файлов составляет меньше мегабайта. И файлы от старых запросов непонятно как удалить - они тоже место занимают, хоть и не много.
UPD: после архивирования вложение успешно прикрепилось.
По окончании работы FRST появилось окно о повреждении файла cmd. В автоматическую перезагрузку компьютер не ушел.
Последний раз редактировалось maxbm; 15.09.2022 в 10:06.