Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

Подмена arp-кэша
Цитата
santy написал:
напишите в [email protected] о проблеме
Ок, спс
Подмена arp-кэша
Цитата
santy написал:
как часто такие события наблюдаются в логах?
постоянно (

Подмена arp-кэша
Цитата
santy написал:
какая версия продукта ESET установлена на рабочих компьютерах?
7.1.2053.0
Подмена arp-кэша
Если не там создал тему то сильно не ругайте.
Есть mikrotik который смотрит к провайдеру. Потом стоит машина с Kerio Control которая раздает инет по организации. В роли DHCP выступает машина с Win 2008. Сеть mikrotik 192.168.96.0, локальная сеть 192.168.9.0. Машина Control 192.168.9.249 (linux ставится с установочного образа), машина Eset manager center 192.168.9.248.
Столкнулся вот с такой проблемой, на всех машина установлен eset, и на каждой машине в логах ошибка дублирования IP и подмена arp-кэша. При чем судя по всему выступает источником именно машина Kerio control, так как у машины что на скрине IP 192.168.9.15. Подскажите пожалуйста, как победить
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Цитата
santy написал:
могли получить список учетных записей на сервере, и перебором или по словарю получить пароль доступа для выбранной учетной записи.
т.е. подключиться из внешней сети по RDP используя уже известную пару логин и пароль.
Но так они могли ломиться на стандартный порт rdp, у меня бред цыфр, сейчас вообще доступ закрыт.
С логами старой ос не особо ( что то акронис долго думает, проще чистый старый образ накатить  
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Цитата
santy написал:
да, можно и с него.но имейте ввиду, предположительно атака была в воскресение, (судя по темам на других форумах, поэтому и образ может быть уже зараженным).по мерам безопасности, я расписал выше.


Расскатывается образ, как заончит сделаю и сделаю свежие логи.
Вот пока сделал логи той машины на которой пользователь вышеуказанный работает. Ссылка
Получается с под нее через буфер на сервер вошло. Блок паролей стоял, но пароли слабые(
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
SecurityCheck by glax24 & Severny отказался запускаться на Win 2008 x64
Логи eset
Образ автозапуска
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Файлы по шифровало с расширением *.id-EF.[[email protected]].ldpr
Загрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)
Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwn
Образ автозапуска пока делается, выложу логи вместе с  SecurityCheck by glax24 & Severnyj и журналом.
Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Второй раз за месяц ловлю шифровальщика, email  - .[[email protected]]
Порты с мира все закрыты, нечего не проброшено в сеть. Шифрует только одну машину с Win2008 R2 и все сетевые расшареные папки. Расскатал копию файлов по быстрому, файлы зашифрованые не сохранял, благо копия есть. Помогите пожалуйста вычислить дырку откуда оно залазит. С установленного это сама система с последними обновлениями, 1С, Medoc, Acronis ну и nod32 file security. Поднят сервер терминалов. Вчера уходили все отлично было. Как найти дырку через которую оно лезет(
С чего начать?
Изменено: Сергей Жало - 23.04.2019 13:16:17
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
Цитата
santy написал:
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
Что имеете ввиду?