Размещено 16.05.2019 15:02:51
удалить продукты ESET можно из безопасного режима Safe mode с помощью фирменной утилиты ESETUninstaller
Напишите о проблеме в support@esetnod32.ru
Не могу удалить, ни зайти в настройки Eset Smart Security 12, Восстановление пароля входа в программу Eset
Повторяющиеся уведомления на почту от ESMC
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 16.05.2019 07:17:23
судя по скрину, установленный File Security работает нормально.
установите критические обновления системы,
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests.
An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
The update addresses the vulnerability by correcting how Remote Desktop Services handles connection requests.
-----------------
Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов, которые ранее назывались службами терминалов, когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в целевой системе. Затем злоумышленник может установить программы; просматривать, изменять или удалять данные; или создать новые учетные записи с полными правами пользователя.
Это обновление устраняет уязвимость, исправляя способ, которым службы удаленных рабочих столов обрабатывают запросы на подключение.
Microsoft утверждает, что критическая уязвимость RDS, отслеживаемая как CVE-2019-0708, распространяется только на более старые версии поддержки (например, Windows 7, Windows Server 2008 R2 и Windows Server 2008)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://www.bleepingcomputer.com/news/security/microsoft-fixes-critical-remote-desktop-flaw-blocks-worm-malware/
+
разрешите доступ к серверу только с доверенных внешних ip адресов
по расшифровке *.adobe не поможем.
нет расшифровки у вирлаба по этому варианту Crysis
установите критические обновления системы,
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests.
An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
The update addresses the vulnerability by correcting how Remote Desktop Services handles connection requests.
-----------------
Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов, которые ранее назывались службами терминалов, когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в целевой системе. Затем злоумышленник может установить программы; просматривать, изменять или удалять данные; или создать новые учетные записи с полными правами пользователя.
Это обновление устраняет уязвимость, исправляя способ, которым службы удаленных рабочих столов обрабатывают запросы на подключение.
Microsoft утверждает, что критическая уязвимость RDS, отслеживаемая как CVE-2019-0708, распространяется только на более старые версии поддержки (например, Windows 7, Windows Server 2008 R2 и Windows Server 2008)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://www.bleepingcomputer.com/news/security/microsoft-fixes-critical-remote-desktop-flaw-blocks-worm-malware/
+
разрешите доступ к серверу только с доверенных внешних ip адресов
по расшифровке *.adobe не поможем.
нет расшифровки у вирлаба по этому варианту Crysis
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 15.05.2019 08:39:13
судя по рисункам у вас новая версия ESET [B]либо не активирована[/B], либо какие то из модулей не работают.
проверьте, чтобы все модули работали корректно, и обновлялись антивирусные базы.
Используете ли ERAC для управления антивирусными клиентами?
+
если установка шифратора была через подключение по RDP, то скорее всего был взлом этой учетки,
C:\USERS\[B]USER[/B]\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-15E3731A.[VERACRYPT@FOXMAIL.COM].ADOBE
необходимо установить сложные пароли на эту и другие учетные записи
+
установите в политиках ограничение на число попыток при неверном вводе пароля.
+
необходимо установить актуальные обновления для серверной системы,
иначе возможен повторный взлом и новое шифрование с рабочего стола.
+
вопрос по детекту в KVRT: какой детект был по найденным и удаленным файлам?
проверьте, чтобы все модули работали корректно, и обновлялись антивирусные базы.
Используете ли ERAC для управления антивирусными клиентами?
+
если установка шифратора была через подключение по RDP, то скорее всего был взлом этой учетки,
C:\USERS\[B]USER[/B]\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-15E3731A.[VERACRYPT@FOXMAIL.COM].ADOBE
необходимо установить сложные пароли на эту и другие учетные записи
+
установите в политиках ограничение на число попыток при неверном вводе пароля.
+
необходимо установить актуальные обновления для серверной системы,
иначе возможен повторный взлом и новое шифрование с рабочего стола.
+
вопрос по детекту в KVRT: какой детект был по найденным и удаленным файлам?
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 14.05.2019 16:01:00
[QUOTE]RP55 RP55 написал:
Айдар Билалов1) После завершения лечения Антивирус нужно обязательно обновить. ( и всегда следить за актуальностью версий )У вас: 4.5.12017.0Актуальная версия: 5 7[/QUOTE]
имеет смысл перейти на актуальные версии [B]ESET File Security[/B], (6.5 или 7.0) поскольку поддержка версии 4.5 уже прекращена.
[CODE]ESET File Security for Microsoft Windows Server
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.0.12018.0 29-Jan-19 Full Support Limited Support TBA
6.5 28-Feb-17 6.5.12018.0 28-Aug-18 Full Support Limited Support TBA
6.4 7-Sep-16 6.4.12004.0 30-Nov-16 Full Support Limited Support TBA
6.3 2-Mar-16 6.3.12006.0 19-May-16 Limited Support Basic Support TBA
6.2 25-Feb-15 6.2.12007.0 3-Sep-15 Limited Support Basic Support TBA
6.0 11-Dec-14 6.0.12035.0 Limited Support Basic Support TBA
5 N/A N/A N/A N/A N/A N/A
4.5 7-Feb-12 4.5.12017.0 5-Aug-15 End of Life End of Life
4.3 18-Oct-11 4.3.12014 End of Life End of Life [/CODE]
https://support.eset.com/kb3592/#efsw
Айдар Билалов1) После завершения лечения Антивирус нужно обязательно обновить. ( и всегда следить за актуальностью версий )У вас: 4.5.12017.0Актуальная версия: 5 7[/QUOTE]
имеет смысл перейти на актуальные версии [B]ESET File Security[/B], (6.5 или 7.0) поскольку поддержка версии 4.5 уже прекращена.
[CODE]ESET File Security for Microsoft Windows Server
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.0.12018.0 29-Jan-19 Full Support Limited Support TBA
6.5 28-Feb-17 6.5.12018.0 28-Aug-18 Full Support Limited Support TBA
6.4 7-Sep-16 6.4.12004.0 30-Nov-16 Full Support Limited Support TBA
6.3 2-Mar-16 6.3.12006.0 19-May-16 Limited Support Basic Support TBA
6.2 25-Feb-15 6.2.12007.0 3-Sep-15 Limited Support Basic Support TBA
6.0 11-Dec-14 6.0.12035.0 Limited Support Basic Support TBA
5 N/A N/A N/A N/A N/A N/A
4.5 7-Feb-12 4.5.12017.0 5-Aug-15 End of Life End of Life
4.3 18-Oct-11 4.3.12014 End of Life End of Life [/CODE]
https://support.eset.com/kb3592/#efsw
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 14.05.2019 15:48:00
[QUOTE]Айдар Билалов написал:
Доброго времени суток! Нужна ваша помощь! [/QUOTE]
по очистке системы:
(
в системе еще активен, скорее всего майнер (или агент), который прописан в автозапуск
192.168.2.42:64445 <-> 46.17.175.28:443
HKEY_USERS\S-1-5-21-3749085011-2254468566-2580908841-1001\Software\Microsoft\Windows\CurrentVersion\Run\Host Process for Windows Tasks
)
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\GOOGLE\CHROM
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\SVCHOST.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6
chklst
delvir
;------------------------autoscript---------------------------
apply
deltmp
CZOO
QUIT
[/code]
без перезагрузки,
пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправьте в почту sendvirus2011@gmail.com, support@esetnod32.ru
по расшифровке:
судя по детектированию зашифрованного файла на ID Ransomware (а так же по наличию записок о выкупе info.hta и FILES ENCRYPTED.txt), это все таки Crysis (не Phobos)
[QUOTE]Опознан как
sample_extension: .id-<id>.[<email>].adobe
ransomnote_email: veracrypt@foxmail.com
sample_bytes: [0x9A0 - 0x9E0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
custom_rule: Original filename "account.xml" after filemarker[/QUOTE]
------------
https://id-ransomware.malwarehunterteam.com/identify.php?case=b6e833e5a843e5d7cc60b0291d3acb4790445a7b
вы можете добавить лог обнаружения угроз, чтобы видеть все реакции установленного антивируса.
с расшифровкой файлов не сможем помочь,
восстановление в вашем случае возможно только из архивных копий и бэкапов.
Доброго времени суток! Нужна ваша помощь! [/QUOTE]
по очистке системы:
(
в системе еще активен, скорее всего майнер (или агент), который прописан в автозапуск
192.168.2.42:64445 <-> 46.17.175.28:443
HKEY_USERS\S-1-5-21-3749085011-2254468566-2580908841-1001\Software\Microsoft\Windows\CurrentVersion\Run\Host Process for Windows Tasks
)
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\GOOGLE\CHROM
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\SVCHOST.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6
chklst
delvir
;------------------------autoscript---------------------------
apply
deltmp
CZOO
QUIT
[/code]
без перезагрузки,
пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправьте в почту sendvirus2011@gmail.com, support@esetnod32.ru
по расшифровке:
судя по детектированию зашифрованного файла на ID Ransomware (а так же по наличию записок о выкупе info.hta и FILES ENCRYPTED.txt), это все таки Crysis (не Phobos)
[QUOTE]Опознан как
sample_extension: .id-<id>.[<email>].adobe
ransomnote_email: veracrypt@foxmail.com
sample_bytes: [0x9A0 - 0x9E0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
custom_rule: Original filename "account.xml" after filemarker[/QUOTE]
------------
https://id-ransomware.malwarehunterteam.com/identify.php?case=b6e833e5a843e5d7cc60b0291d3acb4790445a7b
вы можете добавить лог обнаружения угроз, чтобы видеть все реакции установленного антивируса.
с расшифровкой файлов не сможем помочь,
восстановление в вашем случае возможно только из архивных копий и бэкапов.
[ Закрыто] Заблокирован рабочий стол.
Размещено 13.05.2019 08:30:23
[QUOTE]Борис Мыгденко написал:
Быстро сказка сказывается, да не быстро дело делается.[/QUOTE]
Outpost деинсталлируйте, если необходима защита от нежелательных сетевых подключений, включите системный брэндмауэр.
пишем результат.
+
новый образ автозапуска.
Быстро сказка сказывается, да не быстро дело делается.[/QUOTE]
Outpost деинсталлируйте, если необходима защита от нежелательных сетевых подключений, включите системный брэндмауэр.
пишем результат.
+
новый образ автозапуска.
возможно, WannaCash
Сбой установки, При установке антивируса с оф. сбой установки. Не удалось найти подключения к интернету.
AV говорит, что мой маршрутизатор заражен.