Размещено 10.10.2019 15:51:14
| Цитата |
|---|
| santy написал: напишите в о проблеме |
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Подмена arp-кэша
Подмена arp-кэша
Подмена arp-кэша
Размещено 10.10.2019 14:53:10
| Цитата |
|---|
| santy написал: какая версия продукта ESET установлена на рабочих компьютерах? |
Подмена arp-кэша
Размещено 10.10.2019 13:46:05
Если не там создал тему то сильно не ругайте.
Есть mikrotik который смотрит к провайдеру. Потом стоит машина с Kerio Control которая раздает инет по организации. В роли DHCP выступает машина с Win 2008. Сеть mikrotik 192.168.96.0, локальная сеть 192.168.9.0. Машина Control 192.168.9.249 (linux ставится с установочного образа), машина Eset manager center 192.168.9.248.
Столкнулся вот с такой проблемой, на всех машина установлен eset, и на каждой машине в логах ошибка дублирования IP и подмена arp-кэша. При чем судя по всему выступает источником именно машина Kerio control, так как у машины что на скрине IP 192.168.9.15. Подскажите пожалуйста, как победить
Есть mikrotik который смотрит к провайдеру. Потом стоит машина с Kerio Control которая раздает инет по организации. В роли DHCP выступает машина с Win 2008. Сеть mikrotik 192.168.96.0, локальная сеть 192.168.9.0. Машина Control 192.168.9.249 (linux ставится с установочного образа), машина Eset manager center 192.168.9.248.
Столкнулся вот с такой проблемой, на всех машина установлен eset, и на каждой машине в логах ошибка дублирования IP и подмена arp-кэша. При чем судя по всему выступает источником именно машина Kerio control, так как у машины что на скрине IP 192.168.9.15. Подскажите пожалуйста, как победить
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Размещено 23.04.2019 14:37:47
| Цитата |
|---|
| santy написал: могли получить список учетных записей на сервере, и перебором или по словарю получить пароль доступа для выбранной учетной записи. т.е. подключиться из внешней сети по RDP используя уже известную пару логин и пароль. |
С логами старой ос не особо ( что то акронис долго думает, проще чистый старый образ накатить
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Размещено 23.04.2019 14:20:51
| Цитата |
|---|
| santy написал: да, можно и с него.но имейте ввиду, предположительно атака была в воскресение, (судя по темам на других форумах, поэтому и образ может быть уже зараженным).по мерам безопасности, я расписал выше. |
Вот пока сделал логи той машины на которой пользователь вышеуказанный работает.
Получается с под нее через буфер на сервер вошло. Блок паролей стоял, но пароли слабые(
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Размещено 23.04.2019 12:26:16
Файлы по шифровало с расширением *.id-EF.[].ldpr
Загрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)
Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwn
Образ автозапуска пока делается, выложу логи вместе с и журналом.
Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?
Загрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)
Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwn
Образ автозапуска пока делается, выложу логи вместе с и журналом.
Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Размещено 23.04.2019 11:48:51
Второй раз за месяц ловлю шифровальщика, email - .[[email protected]]
Порты с мира все закрыты, нечего не проброшено в сеть. Шифрует только одну машину с Win2008 R2 и все сетевые расшареные папки. Расскатал копию файлов по быстрому, файлы зашифрованые не сохранял, благо копия есть. Помогите пожалуйста вычислить дырку откуда оно залазит. С установленного это сама система с последними обновлениями, 1С, Medoc, Acronis ну и nod32 file security. Поднят сервер терминалов. Вчера уходили все отлично было. Как найти дырку через которую оно лезет(
С чего начать?
Порты с мира все закрыты, нечего не проброшено в сеть. Шифрует только одну машину с Win2008 R2 и все сетевые расшареные папки. Расскатал копию файлов по быстрому, файлы зашифрованые не сохранял, благо копия есть. Помогите пожалуйста вычислить дырку откуда оно залазит. С установленного это сама система с последними обновлениями, 1С, Medoc, Acronis ну и nod32 file security. Поднят сервер терминалов. Вчера уходили все отлично было. Как найти дырку через которую оно лезет(
С чего начать?
Изменено: Сергей Жало - 23.04.2019 13:16:17
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
Размещено 02.03.2017 17:40:54
| Цитата |
|---|
| santy написал: C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE |