Добрый день.
Злоумышленник взломал компьютер (скорее всего путем подбора пароля), удалил антивирус, установил свои программы (DiskCryptor + для удаленного доступа "mesh", который я уже удалил). На некоторых компьютерах в сети был найден mimikatz.
Зловред запускался периодически через планировщик задач (пока не смог найти какую именно задачу) и политику active directory (пока так же не смог найти). В результате чего компьютер в сети после включения через некоторое время подвергались шифрованию.
Прошу помочь очистить компьютер от вируса и/или его остатков.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) gygabyte, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
В планировщике чисто, следов зловредов не видно. В журнале безопасности ничего интересного, начинается он с 12.12.2023 - взлом, видимо, раньше был?
На контроллере домена выполните экспорт политик командой:
gpresult /v >%USERPROFILE%\desktop\policy.txt
Файл policy.txt с рабочего стола упакуйте в архив и прикрепите к сообщению.
В политиках пусто, журнала безопасности за это время нет, так что только общие рекомендации.
Сменить всем пользователям пароли, установите сложные.
Убрать права администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны.
Использовать нетипичные не словарные имена пользователей для доступа по RDP: Buhgalter, backup, dispetcher - это всё тривиальные варианты.
Задуматься о внедрении VPN для доступа в локальную сеть. Без этого крайне желательно ограничить доступ по RDP на маршрутизаторе по белому списку сетей, из которых соединяются удалённо.
Обновить систему на серверах и клиентских ПК.
Агент администрирования Kaspersky Security Center установлен ещё в июле, это именно средство администрирования, а собственноантивирус есть? Он как-то реагировал при взломе?
Рекомендации выполняем.
VPN сделали, ОСь уже почти везде обновили (в первую очередь на серверах), ставим защиту от подбора паролей.
У нас была программа архивации effector saver. Говорят, что из нее пароль вытащить достаточно просто (я не знаю как, может через разработчиков как-то). Так вот у этой учетки для бэкапов были доменные админ права, ну а дальше "делай что хочешь".
Сам антивирус конечно был, но, имея админ права, его похоже просто удалили.
Как я могу отблагодарить вас за помощь?
И есть ли у вас услуга что-то типа "диагностика системы защиты информации", чтобы понять где и какие у нас еще "дыры" в безопасности?
И есть ли у вас услуга что-то типа "диагностика системы защиты информации", чтобы понять где и какие у нас еще "дыры" в безопасности?
Это уже сервис несколько другого уровня, есть конторы, которые занимаются этим профессионально, Positive Technologies и более мелкие.
Для несерверных систем можно провериться программоё SecurityCheck by glax24 & Severnyj - в логе будет информация. что нужно обновить и поправить.