Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Сергей Кот
Выбрать дату в календареВыбрать дату в календаре

1 2 3 4 След.
Подмена arp-кэша
 
Сергей Кот
Сергей Кот
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 10.10.2019 15:51:14
[QUOTE]santy написал:
напишите в [URL=mailto:[email protected]][email protected][/URL] о проблеме[/QUOTE]
Ок, спс
Перейти
Подмена arp-кэша
 
Сергей Кот
Сергей Кот
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 10.10.2019 15:38:00
[QUOTE]santy написал:
как часто такие события наблюдаются в логах?[/QUOTE]
постоянно (

[IMG WIDTH=682 HEIGHT=593]http://skrinshoter.ru/i/101019/WL5HWQx1.png[/IMG]
Перейти
Подмена arp-кэша
 
Сергей Кот
Сергей Кот
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 10.10.2019 14:53:10
[QUOTE]santy написал:
какая версия продукта ESET установлена на рабочих компьютерах?[/QUOTE]
7.1.2053.0
Перейти
Подмена arp-кэша
 
Сергей Кот
Сергей Кот
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 10.10.2019 13:46:05
Если не там создал тему то сильно не ругайте.
Есть mikrotik который смотрит к провайдеру. Потом стоит машина с Kerio Control которая раздает инет по организации. В роли DHCP выступает машина с Win 2008. Сеть mikrotik 192.168.96.0, локальная сеть 192.168.9.0. Машина Control 192.168.9.249 (linux ставится с установочного образа), машина Eset manager center 192.168.9.248.
Столкнулся вот с такой проблемой, на всех машина установлен eset, и на каждой машине в логах ошибка дублирования IP и подмена arp-кэша. При чем судя по всему выступает источником именно машина Kerio control, так как у машины что на скрине IP 192.168.9.15. Подскажите пожалуйста, как победить
[IMG WIDTH=452 HEIGHT=445]http://skrinshoter.ru/i/101019/tlQJ9sxF.png[/IMG]
Перейти
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 23.04.2019 14:37:47
[QUOTE]santy написал:
могли получить список учетных записей на сервере, и перебором или по словарю получить пароль доступа для выбранной учетной записи.
т.е. подключиться из внешней сети по RDP используя уже известную пару логин и пароль.[/QUOTE]
Но так они могли ломиться на стандартный порт rdp, у меня бред цыфр, сейчас вообще доступ закрыт.
С логами старой ос не особо ( что то акронис долго думает, проще чистый старый образ накатить
Перейти
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 23.04.2019 14:20:51
[QUOTE]santy написал:
да, можно и с него.но имейте ввиду, предположительно атака была в воскресение, (судя по темам на других форумах, поэтому и образ может быть уже зараженным).по мерам безопасности, я расписал выше.



[/QUOTE]
Расскатывается образ, как заончит сделаю и сделаю свежие логи.
Вот пока сделал логи той машины на которой пользователь вышеуказанный работает. [URL=https://www.sendspace.com/file/ml96zk]Ссылка[/URL]
Получается с под нее через буфер на сервер вошло. Блок паролей стоял, но пароли слабые(
Перейти
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 23.04.2019 12:36:19
[URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severny[/URL] отказался запускаться на Win 2008 x64
Логи [URL=https://www.sendspace.com/file/40sh4h]eset[/URL]
Образ [URL=https://www.sendspace.com/file/sz6yhd]автозапуска[/URL]
Перейти
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 23.04.2019 12:26:16
Файлы по шифровало с расширением *.id-EF.[[URL=mailto:[email protected]][email protected][/URL]].ldpr
Загрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)
Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwn
Образ автозапуска пока делается, выложу логи вместе с  [URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severnyj[/URL] и журналом.
Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?
Перейти
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 23.04.2019 11:48:51
Второй раз за месяц ловлю шифровальщика, email  - .[[email protected]]
Порты с мира все закрыты, нечего не проброшено в сеть. Шифрует только одну машину с Win2008 R2 и все сетевые расшареные папки. Расскатал копию файлов по быстрому, файлы зашифрованые не сохранял, благо копия есть. Помогите пожалуйста вычислить дырку откуда оно залазит. С установленного это сама система с последними обновлениями, 1С, Medoc, Acronis ну и nod32 file security. Поднят сервер терминалов. Вчера уходили все отлично было. Как найти дырку через которую оно лезет(
С чего начать?
Изменено: Сергей Жало - 23.04.2019 13:16:17
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 02.03.2017 17:40:54
[QUOTE]santy написал:
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
[/QUOTE]
Что имеете ввиду?
Перейти
1 2 3 4 След.