Размещено 19.07.2019 17:39:26
| Цитата |
|---|
| Маслов Виталий написал: Почему-то один и тот же инсталлятор eavbe_nt64_rus.msi запрашивается, хотя продукты разные устанавливаются. |
проверьте на этой странице:
проверьте на этой странице:
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Не устанавливается ESET Endpoint Antivirus 6, Не устанавливается антивирус на Windows Server 2008R2 x64
проверьте на этой странице:
Не устанавливается ESET Endpoint Antivirus 6, Не устанавливается антивирус на Windows Server 2008R2 x64
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
файлы зашифрованы с расширением .limbo, Zeropadypt NextGen / Ouroboros
Размещено 10.07.2019 17:26:10
из восстановленных детектируется как инструмент взлома:
legion-ssh-cracker.exe
возможно, это их инструмент, поскольку есть какая то связь с именем почты
[email protected]
legion-ssh-cracker.exe
возможно, это их инструмент, поскольку есть какая то связь с именем почты
[email protected]
Блокировка одной из функций драйверов на видеокарты AMD, Блокируется доступ к сервису проверки совместимости системы с установленными играми
файлы зашифрованы с расширением .limbo, Zeropadypt NextGen / Ouroboros
Размещено 09.07.2019 17:22:17
| Цитата |
|---|
| Artur Abdullaev написал: Добрый день! У кого ни будь получилось разблокировать этого шифровальшика? У меня такая же ситуация |
+
несколько зашифрованных файлов в архиве
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
файлы зашифрованы с расширением .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; .kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd. MGS; RSA; .ebola; .money; .VIVAL; UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; one; .xda; .start; .asus: VIRUS, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Размещено 08.07.2019 15:09:58
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:
1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
| Цитата |
|---|
| .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; .kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS |
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:
1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
файлы зашифрованы с расширением .limbo, Zeropadypt NextGen / Ouroboros
Размещено 05.07.2019 15:40:19
судя по зашифрованному файлу и записке о выкупе
идентифицируется, как
судя по логу коллектора в карантине ест файлы брутфорсера
так же по логу коллектору обнаружено:
судя по описанию эксплойта RDP/Exploit.CVE-2019-0708 используется уязвимость сервиса RDP по названием BlueKeep
Вы можете погуглить на эту тему и найти больше информации в сети.
Важно как можно скорее закрыть эту уязвимость, иначе атаки в ближайшем будущем повторятся.
+
этот файл проверьте на Virustotal.com и дайте ссылку в вашем сообщении.
судя по образу автозапуска фал свежий. возможно был использован для взлома сервера.
в папке (Filecoder.7z) среди удаленных с рабочего стола, скорее всего эти два файла судя по размерам:
422912 байт
C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\RENCI.SSHNET.DLL
и
13312 байт
C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\LEGION-SSH-CRACKER.EXE
второй архив не открывается
felicoder.7z
уточните пароль
идентифицируется, как
| Цитата |
|---|
| Zeropadypt Для этого вымогателя пока нет способа дешифровки данных. Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик. Опознан как ransomnote_email: [email protected] |
судя по логу коллектора в карантине ест файлы брутфорсера
| Цитата |
|---|
| Dir: C:\Windows\system32\config\systemprofile\AppData\Local\ESET\ES 41DFDF04DF43B79C937FA74BA473F20B609795BD.NDF "C:\Users\Server\Desktop\Sys — копия (2)\Sql.exe";"C:\Users\Server\Desktop\Sys — копия\Ser.exe";"C:\Users\Server\Desktop\Sys\Sys.exe";"C:\Users\Server\Desktop\Sys — копия (2)\Ser.exe";"C:\Users\Server\Desktop\Sys — копия\Sql.exe" "@NAME=Win64/HackTool.BruteForce.B@TYPE=Trojan@SUSP=inf" 27.05.2019 11356160 bytes |
так же по логу коллектору обнаружено:
| Цитата |
|---|
| 09.06.2019 8:47:57 Обнаружена атака на брешь в системе безопасности 94.230.208.148:35314 192.168.1.50:3389 TCP RDP/Exploit.CVE-2019-0708 C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE 09.06.2019 8:47:57 Обнаружена атака на брешь в системе безопасности 94.230.208.148:35314 192.168.1.50:3389 TCP RDP/Exploit.CVE-2019-0708 C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE |
Вы можете погуглить на эту тему и найти больше информации в сети.
Важно как можно скорее закрыть эту уязвимость, иначе атаки в ближайшем будущем повторятся.
+
этот файл проверьте на Virustotal.com и дайте ссылку в вашем сообщении.
судя по образу автозапуска фал свежий. возможно был использован для взлома сервера.
| Цитата |
|---|
| Полное имя C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\LEGION-SSH-CRACKER.EXE Имя файла LEGION-SSH-CRACKER.EXE Тек. статус [Запускался неявно или вручную] Хэш НЕ найден на сервере. Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] File_Id B01EB2128000 Linker 48.0 Размер 13312 байт Создан 03.07.2019 в 22:09:04 Изменен 04.07.2019 в 01:26:04 EntryPoint - OS Version 0.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя legion-ssh-cracker.exe Версия файла 1.0.0.0 Описание legion-ssh-cracker Производитель Комментарий Доп. информация на момент обновления списка SHA1 C5C8EAF9CDC7FA26A57C6F0A4CE54637C516E583 MD5 88583F78D4DBDF237ADF829326869443 |
422912 байт
C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\RENCI.SSHNET.DLL
и
13312 байт
C:\USERS\АДМИНИСТРАТОР.WIN-A5OAATSPEMK\DESKTOP\LEGION-SSH-CRACKER.EXE
второй архив не открывается
felicoder.7z
уточните пароль
файлы зашифрованы с расширением .limbo, Zeropadypt NextGen / Ouroboros