Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна.
Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
RP55, до чистки еще дойдем, как только будут ответы на вопросы. ------------ 0HTTP://34.80.59.191/WIN.PAC C:\USERS\АДМИНИСТРАТОР.WIN-1O899I2GF2V\APPDATA\LOCAL\BROWSERUPDPHENIX\BROWSERUPDPHENIX.EXE C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Прокси ваш? хттп://34.80.59.191/WIN.PAC в hosts сами блокировали адреса антивирусных ресурсов? например: 0.0.0.0 malwarebytes.com Антивирус 360 поставили уже после шифрования? (судя по файлам - дата шифрования 17.02.2023)
Судя по логу ESVC:
влом учетки Администратор? очистка журналов от 20.02.2023 или это уже постреакция после шифрования?
sep=, Datetime,Source,Event description 20.02.2023 20:16:06.802,Windows Event Log,"Log ""Windows PowerShell"" was cleared by 1CSRV\Администратор." 20.02.2023 20:16:06.786,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/OperationalVerbose"" was cleared by 1CSRV\Администратор." 20.02.2023 20:16:06.786,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/Operational"" was cleared by 1CSRV\Администратор." 20.02.2023 20:16:06.645,Windows Event Log,"Log ""System"" was cleared by 1CSRV\Администратор." 17.02.2023 22:15:01.620,Non-MS Apps,"Application ""Adobe Acrobat Reader - Russian"" was installed." 17.02.2023 19:27:37.615,Non-MS Apps,"Application ""Port Locker"" was installed." 17.02.2023 19:27:37.615,Non-MS Apps,"Application ""Total Commander 64-bit (Remove or Repair)"" was installed." ------------------ Аутентификация на уровне сети отключена. Чтобы включить его, щелкните правой кнопкой мыши Этот компьютер (или компьютер) -> Свойства -> Настройки удаленного доступа и установите флажок «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети».
Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
Некоторые важные системные журналы были очищены. Имя журнала Очищено Система 20.02.2023 20:16:06 Windows PowerShell 20.02.2023 20:16:06
Продукт безопасности не найден на момент шифрования.
Журналы событий безопасности охватывают лишь небольшой период времени (менее суток). Журналы либо были очищены злоумышленником, либо размер журнала событий слишком мал. Рассмотрите возможность увеличения размера журнала событий (eventvwr.msc -> Журналы Windows (левая панель) -> Безопасность -> Свойства (правая панель) -> Максимальный размер журнала (введите новое значение)). Мы рекомендуем как минимум утроить текущий Максимальный размер журнала.
Была проведена атака грубой силы с удаленной машины (машин): - у administrator было 13 052 неудачных попытки входа в систему - У ADMINISTRATOR была 7 991 неудачная попытка входа в систему. - У ADMIN было 4 357 неудачных попыток входа в систему. - У Administrator было 442 неудачных попытки входа в систему.
Могут отсутствовать следующие критические исправления: - CVE-2021-34527, кодовое название «PrintNightmare» ()
Мы рекомендуем: - регулярное резервное копирование важных данных для предотвращения потери данных - ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо - использование надежного пароля пользователями с доступом по RDP
Сделайте, пожалуйста, логи в зашифрованной системе: (для поиска возможного тела шифровальщика) образ автозапуска системы
логи FRST
SysvulnCheck "SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)
Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
16-ое поколение домашних продуктов ESET, Обсуждение новых функций, настройки, и исправлений 16-й версии продукта.
ESET NOD32 Antivirus, ESET Internet Security and ESET Smart Security Premium version 16.1.14 have been released and are available for download. Changelog: Version 16.1.14
NEW: Added Live Tiles on Overview page
NEW: Added new Light / Dark mode switch to GUI
IMPROVED: Additional network details displayed under Network adapters in GUI
FIXED: various fixes and minor improvements =========== Список изменений: Версия 16.1.14
НОВОЕ: добавлены живые плитки на странице обзора.
НОВОЕ: добавлен новый переключатель режима Light / Dark в графический интерфейс.
УЛУЧШЕНО: Дополнительные сведения о сети отображаются в разделе «Сетевые адаптеры» в графическом интерфейсе.
ИСПРАВЛЕНО: различные исправления и мелкие улучшения
Проблемы с регистрацией/восстановлением лицензии антивируса
Могли проникнуть через RDP если есть возможность для подключения по RDP из внешней сети, сейчас это чаще всего и происходит при атаках шифровальщиков. а далее, смогли уже из локальной сети атаковать другие устройства. Сделайте лог SysVulnCheck на устройстве, где было шифрование, и к которому есть доступ из внешней сети. (можно на нескольких пострадавших устройствах)
файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM, модифицированный вариант Conti
Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе в архив, загрузите архив в ваше новое сообщение для определения типа шифровальщика. Если найден исполняемый файл шифратора, добавьте файл в архив с паролем infected, пришлите в почту [email protected] --------- судя по файлам, полученным от коллег - это модифицированный Conti, к сожалению, без возможности расшифровки на текущий момент.
Важные зашифрованные файлы+записку о выкупе сохраните на отдельный носитель, возможно в будущем расшифровка станет возможной.
Создайте образ автозапуска в uVS в пострадавшей системе для очистки от возможных тел шифровальщика
+ соберите лог ESETSysVulnCheck для анализа проникновения злоумышленников. "SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)
Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Дмитрий Канунников написал: И что вы думаете опять всё слетело и при загрузке винды синий экран смерти, как его назывпют.
Win лицензионный или активатор используете? Если используете активатор, в этом случае надо отключить потенциально опасное и потенциально нежелательное ПО при установке продукта, затем добавить файлы активаторов в исключение из всех проверок.
Илья Пегов написал: Добрый день! Помогите с расшифровкой. Злоумышленник зашел по RDP подобрав пароль. Машина была выключена, зашифровано не до конца. snowdenV.7z - предположительно исполняемый файл шифровальщика. послание.7z - оставлено злоумышленником файлы.7z - зашифрованные файлы для примера Лицензия NOD32 имеется
