ESET CONNECT

[QUOTE]santy написал:
могли получить список учетных записей на сервере, и перебором или по словарю получить пароль доступа для выбранной учетной записи.
т.е. подключиться из внешней сети по RDP используя уже известную пару логин и пароль.[/QUOTE]
Но так они могли ломиться на стандартный порт rdp, у меня бред цыфр, сейчас вообще доступ закрыт.
С логами старой ос не особо ( что то акронис долго думает, проще чистый старый образ накатить

[QUOTE]santy написал:
да, можно и с него.но имейте ввиду, предположительно атака была в воскресение, (судя по темам на других форумах, поэтому и образ может быть уже зараженным).по мерам безопасности, я расписал выше.



[/QUOTE]
Расскатывается образ, как заончит сделаю и сделаю свежие логи.
Вот пока сделал логи той машины на которой пользователь вышеуказанный работает. [URL=https://www.sendspace.com/file/ml96zk]Ссылка[/URL]
Получается с под нее через буфер на сервер вошло. Блок паролей стоял, но пароли слабые(

[URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severny[/URL] отказался запускаться на Win 2008 x64
Логи [URL=https://www.sendspace.com/file/40sh4h]eset[/URL]
Образ [URL=https://www.sendspace.com/file/sz6yhd]автозапуска[/URL]

Файлы по шифровало с расширением *.id-EF.[[URL=mailto:mr.crypt@aol.com]mr.crypt@aol.com[/URL]].ldpr
Загрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)
Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwn
Образ автозапуска пока делается, выложу логи вместе с  [URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severnyj[/URL] и журналом.
Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?

Второй раз за месяц ловлю шифровальщика, email  - .[MR.CRYPT@AOL.COM]
Порты с мира все закрыты, нечего не проброшено в сеть. Шифрует только одну машину с Win2008 R2 и все сетевые расшареные папки. Расскатал копию файлов по быстрому, файлы зашифрованые не сохранял, благо копия есть. Помогите пожалуйста вычислить дырку откуда оно залазит. С установленного это сама система с последними обновлениями, 1С, Medoc, Acronis ну и nod32 file security. Поднят сервер терминалов. Вчера уходили все отлично было. Как найти дырку через которую оно лезет(
С чего начать?

[QUOTE]santy написал:
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
[/QUOTE]
Что имеете ввиду?

Лог автозапуска

[QUOTE]santy написал:
Сергей Жало,
добавьте образ автозапуска системы, где произошло шифрование *.no_more_*[/QUOTE]
Машину уже пролечил, есть смысл вылаживать?
в вложении файл логов для вирусинфо

Пришло письмо на почту с следующим содержанием

[I][U]Добрый день .[/U][/I]

[I][U]У Вас имеется счет на оплату.[/U][/I]
[I][U]Загрузить его можете на нашем сайте по данной ССЫЛКЕ[/U][/I]
[B](прим. ссылка удалена администратором)[/B]

[I][U]С уважением, ПАО КБ «ПРИВАТБАНК» тел.: +38-056-716-11-31 (для звонков из-за рубежа[/U][/I]
[I][U]Вы получили это письмо, поскольку являетесь клиентом ПриватБанка. Если Вы хотите отказаться от сообщений, пожалуйста, нажмите здесь [/U][/I]
[I][U]Нам будет Вас не хватать [/U][/I]:([I][U].[/U][/I]

При переходе скачали архив, открыли и конечно все зашифровало. Теперь все файлы имеют вид
ZNTio1UBXpDkeCcIJTT0Z5BIALTTdNA8ZBBA-kfMXLaz12Aw03HNkwFmtQWJeLS5+G2yyFsW+pM9Hi+7ERcUEGGJfpEDVPBO0­Qju9esaJyifQkO6LLL0tRSt49TGI09GoArM87z27KY-gY+gi8kcrDJmITquxunj33n+Jwa4vsE=.1DB5E25C09277358FBD5.no_more_ransom

Теневое копирование было включено, но теперь ShadowExplorer видит только сегодняшнее состояние после шифрования.

По ссылке архив лежит который пришел на почту

NOD32 не словил этот вирус

[QUOTE]santy написал:
при открытии  html документа будет предложено скачать архив из сети,
если архив был скачен, и открыт, и запущен файл внутри архива, только в этом случае запустится шифратор.
------
да, архив скачал по ссылке внутри html дока. ESET его детектирует.
блокируем этот адрес:[QUOTE]*centraljokmobil.com*[/QUOTE]
[/QUOTE]
А что он детектирует? стремно качать, а тестовой машины нет. Может поднять тестовую машину и посмотреть как он работает, может ключи на шифровку и дешифровку где то ложит?