Выбрать дату в календареВыбрать дату в календаре

1 2 3 4 5 6 7 8 9 10 11 ... 1660 След.
[ Закрыто] Ошибка MSI.1303 при установке Eset Endpoint Antivirus 7.2.2055
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {0E4EDFA3-7709-4E3E-BF10-BC948EE0D79C} - \Windows Update 5dcb6e66 -> No File <==== ATTENTION
Task: {132CB1CA-587B-4E1A-B65A-62D1F71684A9} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {2376B0BE-2405-4337-93D4-FABC5C44A78C} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {24F36DC8-AEF5-4EBB-982B-31F700BDA9F5} - \Microsoft\Windows\5123E61F-2066-4E12-BB1E-4A928EEF8BAD -> No File <==== ATTENTION
Task: {298741E9-C658-454D-8308-83B4B6A0D185} - \{FD0D6607-3121-4176-8C45-D964F0D456D0} -> No File <==== ATTENTION
Task: {2A30300A-7EDB-4F8B-A55F-3AB8337DCA14} - \{98B2C078-E17D-4C34-B14B-F5002C6B8D11} -> No File <==== ATTENTION
Task: {3BB24FC3-E9A8-4E70-B530-516406E3A799} - \{D529708E-0ECE-4500-A171-5D1CDA6D783C} -> No File <==== ATTENTION
Task: {41237927-A1CB-401E-98A2-84FDC2585031} - \Windows Update b2b04eba -> No File <==== ATTENTION
Task: {8AD3A823-A2E9-4CC7-AC66-017924526B97} - \Windows Update 597301b5 -> No File <==== ATTENTION
Task: {FCCA92DC-69C8-4F4D-8ECA-E7554CBC0448} - \Windows Update 22074eed -> No File <==== ATTENTION
CHR Notifications: Default -> hxxps://blackstarwear.ru; hxxps://chuvashia.shop.megafon.ru; hxxps://horoscopes.rambler.ru; hxxps://hr-portal.info; hxxps://iplastica.ru; hxxps://kcentr.ru; hxxps://kofechaj24.ru; hxxps://news-fancy.com; hxxps://ria.ru; hxxps://www.letu.ru; hxxps://www.m24.ru; hxxps://www.sport-express.ru; hxxps://www.wildberries.ru; hxxps://yandex.ru
AlternateDataStreams: C:\ProgramData\TEMP:373E1720 [118]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720 [118]
FirewallRules: [{C891F5A7-080F-4D6C-905C-0B8A62E6C098}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{FF6BE0D1-E4F8-4FFD-A071-D7BBAC00C099}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{C3E8002E-D082-467D-B499-F64C2161F89C}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{A3D40A81-6033-4F68-B436-41BDD062F287}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{840156BC-79A2-4862-BBCA-9BEFA349E3B1}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
FirewallRules: [{62DFB077-EA97-4588-B828-6E094C77F8C0}] => (Allow) C:\Program Files\Kaspersky Lab\NetworkAgent\klnagwds.exe (Kaspersky Lab -> AO Kaspersky Lab)
EmptyTemp:
Reboot:[/CODE]
[ Закрыто] Ошибка MSI.1303 при установке Eset Endpoint Antivirus 7.2.2055
удалите все найденное в малваребайт,
далее,

сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
Шифровирусы шумной толпою
[SIZE=14pt]ФБР выдает предупреждение по LockerGoga и MegaCortex Ransomware[/SIZE]

ФБР предупреждает частную индустрию о двух заражениях вымогателями и о том, как они атакуют сеть.

«С января 2019 года LockerGoga Ransomware предназначался для крупных корпораций и организаций в Соединенных Штатах, Великобритании, Франции, Норвегии и Нидерландах. MegaCortex Ransomware, впервые идентифицированный в мае 2019 года, аналогичен LockerGoga. "

Согласно предупреждению, участники LockerGoga и MegaCortex закрепятся в корпоративной сети, используя эксплойты, фишинговые атаки, инъекции SQL и украденные учетные данные для входа.

Как только сеть взломана, субъекты угроз установят инструмент тестирования на проникновение под названием Cobalt Strike. Этот инструмент позволяет злоумышленникам развертывать «маяки» на скомпрометированном устройстве для «создания оболочек, выполнения сценариев PowerShell, повышения привилегий или запуска нового сеанса для создания прослушивания в системе жертвы».

Когда сеть подвергается атаке, субъекты будут находиться в сети в течение нескольких месяцев, прежде чем развернуть заражение вымогателями LockerGoga или MegaCortex.

злоумышленники в этот период, вероятно, извлекают данные, внедряют трояны, крадущие информацию, и еще больше компрометируют рабочие станции и серверы.

После того, как в сети будет собрано что-то ценное, злоумышленники развернут заражение LockerGoga или MegaCortex, чтобы начать шифрование устройств в сети. Это создаст окончательный источник дохода для злоумышленников.

Во время развертывания субъекты выполняют пакетный файл kill.bat или stop.bat, который завершает процессы и службы, связанные с программами безопасности, отключает функции сканирования Защитника Windows и отключает службы, связанные с безопасностью.

Участники угрозы также будут использовать различные LOLBins и законное программное обеспечение, такое как

   7-Zip, сценарии PowerShell, wmic, nslookup, adfind.exe, mstds.exe, Mimikatz, Ntsdutil.exe и massscan.exe.


К сожалению, оба из этих вымогателей используют безопасный алгоритм шифрования, что означает, что невозможно дешифровать их бесплатно.

ФБР рекомендует меры предупреждения

ФБР предлагает рекомендации по предупреждению последствий, которые владельцы бизнеса должны использовать, чтобы минимизировать свой риск для вымогателей LockerGoga и MegaCortex.

 [QUOTE] - Самое важное предупреждение состоит в том, чтобы вы «регулярно делали резервные копии данных, сохраняли резервные копии в автономном режиме и проверяли целостность процесса резервного копирования».

   Имея работающие и проверенные резервные копии, особенно автономные, вымогатели не представляют большой угрозы, так как вы всегда можете восстановить свои данные.

   Другие меры по предупреждению включают в себя:

   - Убедитесь, что все установленное программное обеспечение и операционные системы постоянно обновляются. Это помогает предотвратить использование уязвимостей злоумышленниками.
   - Включите двухфакторную аутентификацию (2fa) и надежные пароли, чтобы блокировать фишинговые атаки, украденные учетные данные или другие компрометации при входе в систему.
   - Поскольку общедоступные серверы удаленных рабочих столов являются обычным способом для злоумышленников сначала получить доступ к сети, предприятиям следует проводить аудит журналов для всех протоколов удаленного подключения.
   - Аудит создания новых учетных записей.
   - Сканирование открытых или прослушивающих портов в сети и блокирование их доступности.
   - Отключите SMBv1, поскольку в протоколе существует множество уязвимостей и слабостей.
   - Отслеживайте изменения в Active Directory и группе администраторов организации для неавторизованных пользователей.
   - Убедитесь, что вы используете самую последнюю версию PowerShell, и удалите все старые версии.
   - «Включить ведение журнала PowerShell и отслеживать необычные команды, особенно выполнение PowerShell в кодировке Base64»[/QUOTE]


Это руководство является достаточно общим, что оно применимо ко всем инфекциям-вымогателям и должно соблюдаться всеми организациями и даже потребителями.

https://www.bleepingcomputer.com/news/security/fbi-issues-alert-for-lockergoga-and-megacortex-ransomware/
Выходят предупреждения Адрес заблокирован
>>>
Проверяем, как работает система...иПишем по _общему результату лечения.
>>>
Пришло время отключить доступ к RDP из интернета
Хотя уязвимость BlueKeep (CVE-2019-0708) до настоящего времени не вызывала широкомасштабного хаоса, и мы рассмотрим причины, по которым в этом посте она все еще находится на очень ранней стадии жизненного цикла эксплуатации. Факт остается фактом, что многие системы все еще не исправлены, и все еще можно найти полностью исправленную версию эксплойта. Из-за этих факторов ESET создала бесплатную утилиту для проверки уязвимости системы.
https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetblu­ekeepchecker.exe

Существует множество серверов, работающих под управлением различных версий серверных операционных систем Microsoft Windows, которые напрямую подключены к Интернету, что практически не обеспечивает безопасности доступа к ним.

[B]Что такое RDP?[/B]

RDP, сокращение от «Протокол удаленного рабочего стола», позволяет одному компьютеру подключаться к другому компьютеру по сети, чтобы использовать его удаленно. В домене компьютеры с операционной системой Windows Client, такой как Windows XP или Windows 10, поставляются с предустановленным клиентским программным обеспечением RDP как часть операционной системы, которая позволяет им подключаться к другим компьютерам в сети, включая сервер организации ( с).

Сегодня, обычно к пользователям RDP относятся системные администраторы, выполняющие удаленное администрирование серверов, а также удаленные работники, которые могут подключаться к виртуализированным настольным компьютерам внутри домена своей организации.

За последние несколько лет в ESET наблюдают рост числа случаев, когда злоумышленники подключались к Интернету с помощью RDP удаленно к Windows Server через Интернет и входили в систему как администратор компьютера. После того, как злоумышленники войдут на сервер как администратор. Далее, они выполняют различные действия:

  [QUOTE] очистка лог-файлов, содержащих доказательства их присутствия в системе;
   отключение запланированных резервных копий и теневых копий;
   отключение защитного программного обеспечения или настройка исключений в нем (что разрешено администраторам);
   загрузка и установка различных программ на сервер;
   стирание или перезапись старых резервных копий, если они доступны;
   эксфильтрация данных с сервера;
   установка программ добычи монет для генерации криптовалюты, таких как Monero;
   установка Ransomware с целью вымогательства денег у организации, которые часто выплачиваются с использованием криптовалюты, такой как биткойны.[/QUOTE]


Уязвимость BlueKeep позволяет злоумышленникам запускать произвольный программный код на компьютерах своих жертв. Поскольку они могут использовать автоматизированные инструменты для атак, эта атака может распространяться автоматически по сетям без какого-либо вмешательства пользователей, как Win32 / Diskcoder.C ( ака NotPetya) и Conficker в прошлом.

В начале сентября Rapid7, разработчик инструмента пентестинга Metasploit, объявил о выпуске эксплойта BlueKeep. Несмотря на то, что в течение следующих нескольких месяцев не было зарегистрировано заметного увеличения активности BlueKeep, в последнее время ситуация изменилась. В начале ноября, как отмечают ZDNet и WIRED, стали доступны массовые сообщения об эксплуатации BlueKeep. По сообщениям, атаки были менее чем успешными: около 91% уязвимых компьютеров вылетали с ошибкой остановки (так называемая проверка ошибок или синий экран смерти), когда злоумышленник пытается использовать уязвимость BlueKeep. Однако на оставшихся 9% уязвимых компьютеров эти злоумышленники успешно установили программное обеспечение для криптомайнинга Monero.

[B]Защита от злоумышленников, атакующих RDP[/B]

Итак, учитывая все это, что вы можете сделать? Ну, во-первых, очевидно, чтобы прекратить подключение напрямую к вашим серверам через Интернет с помощью RDP. Поддержка Windows Server 2008 и Windows 7 заканчивается в январе 2020 года, наличие компьютеров под управлением этих компьютеров и их прямой доступ через RDP через Интернет представляет собой риск для вашего бизнеса, который вы уже должны планировать снизить.

Это не означает, что вам необходимо немедленно прекратить использование RDP, но вам необходимо предпринять дополнительные шаги, чтобы обезопасить его как можно скорее и как можно быстрее. С этой целью мы создали таблицу с десятью основными шагами, которые вы можете предпринять, чтобы начать защищать свои компьютеры от атак на основе RDP.

[QUOTE] 1. Запретить внешние подключения к локальным компьютерам через порт 3389 (TCP / UDP) на межсетевом экране периметра. * Блокирует доступ к RDP из Интернета.
   (* По умолчанию RDP работает на порте 3389. Если вы изменили этот порт на другое значение, то этот порт должен быть заблокирован.)

   2. Протестируйте и разверните исправления для уязвимости CVE-2019-0708 (BlueKeep) и включите аутентификацию на уровне сети (NLA) как можно быстрее. Установка исправления Microsoft и следование их предписывающим рекомендациям помогает обеспечить защиту устройств от уязвимости BlueKeep.

   3. Для всех учетных записей, в которые можно войти через RDP, требуются сложные пароли (обязательна длинная парольная фраза, содержащая более 15 символов). Защищает от взлома паролей и взлома учетных данных.

   4. Установите двухфакторную аутентификацию (2FA) и, как минимум, требуйте ее для всех учетных записей, в которые можно войти через RDP. Требуется второй уровень аутентификации, доступный сотрудникам только через мобильный телефон, токен или другой механизм для входа в компьютеры.

   5. Установите шлюз виртуальной частной сети (VPN), чтобы обеспечить безопасность во всех RDP-подключениях вне локальной сети. Предотвращает RDP-соединения между интернетом и вашей локальной сетью.

   6. Защитите программное обеспечение для защиты конечных точек паролем, используя надежный пароль, не связанный с учетными записями администраторов и служб.

   7. Включите блокировку эксплойтов в программном обеспечении безопасности конечных точек. Убедитесь, что эта функция включена.

   8. Изолируйте любой небезопасный компьютер, к которому требуется доступ из Интернета, используя RDP.

   9. Заменить небезопасные компьютеры. Если компьютер не может быть исправлен с помощью уязвимости BlueKeep, запланируйте его своевременную замену.

   10. Рассмотрите возможность блокировки geoIP на шлюзе VPN. Если сотрудники и поставщики находятся в одной и той же стране или в небольшом списке стран, рассмотрите возможность блокировки доступа из других стран, чтобы предотвратить соединения со стороны иностранных злоумышленников.[/QUOTE]


[B]Использование средства проверки уязвимости ESET BlueKeep (CVE-2019-0708)[/B]

ESET выпустила бесплатный инструмент BlueKeep (CVE-2019-0708), чтобы проверить, уязвим ли компьютер под управлением Windows. На момент публикации инструмент можно загрузить с:

   Program ESET BlueKeep (CVE-2019-0708) vulnerability checker
   Version 1.0.0.1
   Location https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetblu­ekeepchecker.exe
   SHA-1 hash C0E66EA2659D2EA172950572FDB5DE881D3882D8


При запуске программа сообщит, уязвима ли система для эксплуатации BlueKeep или нет. В случае уязвимости системы инструмент переместит пользователя на веб-страницу, чтобы загрузить соответствующий патч на веб-сайте Microsoft.

[IMG WIDTH=666 HEIGHT=333]https://chklst.ru/uploads/editor/zd/zh4m7q1881yd.jpg[/IMG]

подробнее здесь:

https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-internet/
Не устанавливается антивирус
+
добавьте образ автозапуска системы
Выходят предупреждения Адрес заблокирован
2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
поговорить о uVS, Carberp, планете Земля
[B]Немного о 2FA: Двухфакторная аутентификация[/B]

[QUOTE]Двухфакторная аутентификация или 2FA – это метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту аккаунта от несанкционированного доступа. [/QUOTE]

https://habr.com/ru/company/1cloud/blog/277901/
возможно, WannaCash
[QUOTE]olga vitchinova написал:
Образ автозапуска добавляю и зашифрованные файлы![/QUOTE]

проверьте личные сообщения
возможно, WannaCash
[QUOTE]Николай Никифоров написал:
Здравствуйте. Подхватил вирус шифровальщик wannacash. Он зашифровал фотографии, документы, и много других файлов. Прошу вашей помощи в расшифровке зашифрованных файлов. [/QUOTE]

проверьте личные сообщения
1 2 3 4 5 6 7 8 9 10 11 ... 1660 След.