Выбрать дату в календареВыбрать дату в календаре

Подмена arp-кэша
[QUOTE]santy написал:
напишите в [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL] о проблеме[/QUOTE]
Ок, спс
Подмена arp-кэша
[QUOTE]santy написал:
как часто такие события наблюдаются в логах?[/QUOTE]
постоянно (

[IMG WIDTH=682 HEIGHT=593]http://skrinshoter.ru/i/101019/WL5HWQx1.png[/IMG]
Подмена arp-кэша
[QUOTE]santy написал:
какая версия продукта ESET установлена на рабочих компьютерах?[/QUOTE]
7.1.2053.0
Подмена arp-кэша
Если не там создал тему то сильно не ругайте.
Есть mikrotik который смотрит к провайдеру. Потом стоит машина с Kerio Control которая раздает инет по организации. В роли DHCP выступает машина с Win 2008. Сеть mikrotik 192.168.96.0, локальная сеть 192.168.9.0. Машина Control 192.168.9.249 (linux ставится с установочного образа), машина Eset manager center 192.168.9.248.
Столкнулся вот с такой проблемой, на всех машина установлен eset, и на каждой машине в логах ошибка дублирования IP и подмена arp-кэша. При чем судя по всему выступает источником именно машина Kerio control, так как у машины что на скрине IP 192.168.9.15. Подскажите пожалуйста, как победить
[IMG WIDTH=452 HEIGHT=445]http://skrinshoter.ru/i/101019/tlQJ9sxF.png[/IMG]
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]santy написал:
могли получить список учетных записей на сервере, и перебором или по словарю получить пароль доступа для выбранной учетной записи.
т.е. подключиться из внешней сети по RDP используя уже известную пару логин и пароль.[/QUOTE]
Но так они могли ломиться на стандартный порт rdp, у меня бред цыфр, сейчас вообще доступ закрыт.
С логами старой ос не особо ( что то акронис долго думает, проще чистый старый образ накатить
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]santy написал:
да, можно и с него.но имейте ввиду, предположительно атака была в воскресение, (судя по темам на других форумах, поэтому и образ может быть уже зараженным).по мерам безопасности, я расписал выше.



[/QUOTE]
Расскатывается образ, как заончит сделаю и сделаю свежие логи.
Вот пока сделал логи той машины на которой пользователь вышеуказанный работает. [URL=https://www.sendspace.com/file/ml96zk]Ссылка[/URL]
Получается с под нее через буфер на сервер вошло. Блок паролей стоял, но пароли слабые(
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severny[/URL] отказался запускаться на Win 2008 x64
Логи [URL=https://www.sendspace.com/file/40sh4h]eset[/URL]
Образ [URL=https://www.sendspace.com/file/sz6yhd]автозапуска[/URL]
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Файлы по шифровало с расширением *.id-EF.[[URL=mailto:mr.crypt@aol.com]mr.crypt@aol.com[/URL]].ldpr
Загрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)
Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwn
Образ автозапуска пока делается, выложу логи вместе с  [URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severnyj[/URL] и журналом.
Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Второй раз за месяц ловлю шифровальщика, email  - .[MR.CRYPT@AOL.COM]
Порты с мира все закрыты, нечего не проброшено в сеть. Шифрует только одну машину с Win2008 R2 и все сетевые расшареные папки. Расскатал копию файлов по быстрому, файлы зашифрованые не сохранял, благо копия есть. Помогите пожалуйста вычислить дырку откуда оно залазит. С установленного это сама система с последними обновлениями, 1С, Medoc, Acronis ну и nod32 file security. Поднят сервер терминалов. Вчера уходили все отлично было. Как найти дырку через которую оно лезет(
С чего начать?
Изменено: Сергей Жало - 23.04.2019 13:16:17
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
[QUOTE]santy написал:
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
[/QUOTE]
Что имеете ввиду?