#0
by falselight
Здравствуйте! Поделитесь информацией, как это может происходить? Владелец сервера говорит что через rdp который он дал для удаленного доступа к нему залезли недоброжелатели. Поставили вымогатель, зашифровали каталоги и требуют выкуп. Система Windows 10. Вообще пароль и пользователь не сложный был на доступ по rdp. Бывает такое или это флуд?
#0
by falselight
Здравствуйте! Поделитесь информацией, как это может происходить? Владелец сервера говорит что через rdp который он дал для удаленного доступа к нему залезли недоброжелатели. Поставили вымогатель, зашифровали каталоги и требуют выкуп. Система Windows 10. Вообще пароль и пользователь не сложный был на доступ по rdp. Бывает такое или это флуд?
#1
by Asmody
Бывает. Выставить RDP в интернет — это как с голой жёпой в Амстердаме прогуляться. Найдёшь приключений на 146%
#2
by Мелифаро
А что невозможного? Другое дело, что даже несложный пароль брутфорсом по рдп подобрать проблематично с виндовой политикой безопасности по умолчанию. Скорее всего пароль уже знали. В каком контексте он это утверждает? Профачил какие-то обязательства перед вами, или просто спрашивает, как ему быть?
#5
by falselight
Ну то что вымогатель у них появился, якобы через меня. Блеф 100%. Единственное что было, это то что пользователя rdp выкидывало 2 раза. Или не было возможности зайти потом, черный экран. Или когда появилась картинка не было управления. Владелец утверждает что никто он него не заходил!!!
#6
by Asmody
Предлагали. Но я с кем попало ни-ни. И вообще, избегайте случайных связей и пользуйтесь VPN.
#7
by falselight
Он предоставил доступ по rdp. Ну и то что случается решает что это из за этого. Пока не понятная ситуация.
#12
by falselight
То есть rdp крайне не надежная вещь, в плане того что присоседиться сможет посторонний без труда?
#13
by Looking
"Владелец сервера говорит что через rdp который он дал для удаленного доступа к нему залезли недоброжелатели. Поставили вымогатель, зашифровали каталоги и требуют выкуп." может у него в данной ОС еще учетки были с админскими правами и без паролей или со слабыми паролями, и после того как рдп был выставлен в общий доступ этими учетками и подключились
#14
by Trimax
Бред насяльника не желающего платить. Принеси ему флешку с вирусом или письмо таковое отправь. Посмотри результат.
#15
by Looking
если открываете рдп в интернет, то все учетки ОС данного ПК должны быть со сложными паролями.
#17
by falselight
Пароли слабые. Я ответственному за это говорю, поставь 16 ричные пароли. Он говорит не нужно. Пароли любой сложности ломаются в 2 счета. Вот и толкём воду. А в чем проблема так и не ясно.
#22
by Looking
"шифровальщики обычно с почтой приходят" была как-то ситуация заражения именно по рдп, хорошо, что учетка была ограниченная и зашифровали только то, к чему у нее был доступ, пароль на учетке слабый был.
#24
by Trimax
А ты, "мил человек", не качал, случайно, обработки для 8-ки с инета, с непроверенных источников? Я год назад "скачал перенос между базами", аваст и нод "сглотнули" а каспер обнаружил.
#26
by FN
Встречал такой же случай. По логам несколько месяцев шёл брутфорс с логинами типа Вася, Петя. Примерно раз в минуту. В итоге подобрали Таню с паролем 1717 и зашифровали все, до чего дотянулись.
#27
by Мелифаро
>По логам несколько месяцев шёл брутфорс с логинами типа Вася, Петя. Примерно раз в минуту. В итоге подобрали Таню с паролем 1717 и зашифровали все, до чего дотянулись. Надо сказать, админ в этом случае - редкостный дегенерат.
#28
by Looking
сервак был чисто под 1С, и время совершения было таким, что из пользователей никто не работал, что-то в районе 3 - 4 часов утра.
#29
by falselight
Заходил сейчас! Жесть полная. В каждом каталоге лежит файл PAROL. Какие то скрипты, везде сообщения что у вас все запаролено!!!
#30
by falselight
Сам файл скопировал. Могу поделиться содержимым. ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!! ================================================================================== ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru ============================================================================================ ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА - ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!! ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!! ==================================================================================== НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!! ==================================================================================== ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ ВАМ ОБРАТНО !!! ==================================================================================== УКАЗЫВАЙТЕ СВОЙ ID НОМЕР ВАШ ID WTEN_9.... ========================
#31
by Глобальный_Поиск
А почему решили что это по рдп, а не какой-нить вирус-шифровальщик из почты?
#32
by Мелифаро
Ну все, трындец котенку. Насчет 96 часов только вранье для ускорения получения бабла. Остается только договариваться, если одмин юный, свежий и еще не научился параноидально делать бэкапы всего и вся.
#33
by Looking
еще раз - Вам учетку выдавали с ограниченными правами? каталоги зашифрованы только в пределах прав Вашей учетки?
#36
by Looking
+пример имени файла после того шифровальщика 1Cv7.MD.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 5@07@416114300}-email-base1c1c1c@gmail.com-ver-4.0.0.0.cbf
#37
by falselight
Ну ок, вирус шифровальщик значит. Порты смотрели вроде не прощупывались. Возможно он, сейчас тогда нужно искать решение как это вылечить.
#40
by NorthWind
пароли ломаются не в два счете. Если нет уязвимости, то ломаются они перебором. И вот тут есть принципиальная разница - сколько символов и используется ли произвольный набор букв или слово которое есть в словарях. Может получиться быстро, а может и много лет ломать надо.
#45
by Looking
а время шифрования какое? какое время у созданных файлов? Вы в это время работали в сеансе?
#48
by falselight
Пока не могу ничего посмотреть. Нет сегодня я не входил на этот компьютер. Время создания этого файла PAROL может это? Изменен: 5 ?октября ?2017 ?г., ??5:54:09 Потому что время создан и открыт ?5 ?октября ?2017 ?г., ??12:59:23 Это время переноса этого файла к себе.
#49
by falselight
ПК, это выключили. И будут с ним детально разбираться. Потом решать будем что делать. Если там пишут что ни переустановка ни что не поможет. Какие есть варианты? Форматирование всех дисков?
#53
by falselight
Да все возможное будет рассматриваться видимо. Но эти специалисты затребуют же средств. Одобрит ли это работодатель.
#54
by Looking
+время характерное, в том случае про который я пишу шифрование также производилось между 5 и 6 часами утра
#57
by Looking
тогда очень похоже на проникновение через rdp, но вовсе не обязательно, что под Вашей учеткой, в Журналах событий вроде-бы должно быть видно под чьей учеткой был вход?
#60
by falselight
Другие вроде пока не начинали работу ещё. Систему переустановили в субботу. До этого была работа по team viewer. То есть под ним и нужно было бы продолжить работу? Там не было никаких атак вроде.
#63
by falselight
Я не сис. админ. Есть диск C, есть диск backup, на нем все и было в разных каталогах. Это все из за того что был слабый пароль?
#67
by Fish
Это всё из-за того, что кто-то решил сэкономить на админе, который способен настроить безопасное подключение. А скупой, как известно, платит дважды.
#70
by falselight
Можно поподробнее безопасное подключение по rdp, как именно оно строится? Теоретически.
#71
by falselight
Будут смотреть. Журнал событий Win 10 имеете ввиду? А если скрипт? Как это выявить? Журнал событий если было по rdp. А если не rdp как выявить?
#72
by Fish
Так в яндексе почитай, статей куча: А лично я в этом плане вполне доверяю квалифицированным админам, особо не вникая в детали.
#73
by falselight
Понятно. Ну так как я не адимн, тоже не вникаю в детали .... Стараюсь делать свою работу...
#74
by Trimax
А , стесняюсь спросить, сервер терминалов лицензионный или врап, как обычно в жадных конторах?
#76
by Fish
А для чего тогда ветку завёл? Пусть админы и решают проблему, раз допустили шифрование файлов.
#77
by Trimax
На него "батон крошат". Типа ты работаешь один ночью - ты и запустил вирус. Что вполне возможно, если качать 1С-овские обработки с левых сайтов.
#80
by Fish
Для начала надо доказать, что это именно он. А во-вторых, даже если шифровальщик залез с компьютера ТС, то виноваты всё равно админы. Уже хотя бы в том, что бэкапы держат на том же компе.
#81
by falselight
Говорили что это у меня комп заражен. Что через него кто то влез к ним по rdp. Я вот и решил поинтересоваться возможно ли такое. Если у меня заражен как это выявить? Или я не знаю а ко всем лезет? Но другие rdp не жаловались.
#85
by Йохохо
так и решает) пкм на мой компьютер, а там ЗверДВД уиндовс 10 энтерпрайз таблэтка встроена
#86
by Fish
"Если у меня заражен как это выявить? " - Наверное, наличием зашифрованных файлов. Насколько я слышал про шифровальщики, они сначала рассылают себя, а потом шифруют. Ну и антивирусами разными пройдись. Судя по этот шифровальщик не новый, и значит, антивирусы его уже выявят при наличии.
#92
by Looking
если не новый то можно в ДрВеб отправить образец зашифрованного файла, возможно у них уже есть дешифратор
#96
by NorthWind
Смеется он с вас. Для серьезных вещей авира годится мало. Особенно ее бесплатная версия. Касторского рекомендую, причем если вы хотите защиту от шифровальщиков - придется активировать проактивку и мучиться с ее паранойей - она будет вам рубить в том числе и вполне законные действия. Все это придется долго и муторно подстраивать.
#97
by Trimax
Не парься по мелочам. Твоя первоочередная задача поднять данные. Отправляй файлы к вэбу и касперу. Пробуй их утилиты по дешифрации.
Тэги: Админ
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
- Обновление УТ, пытаюсь обновить 10.2.9.2 на 10.2.10 не даёт, подскажите поч
- Windows Home в Windows Professional
- v77.Application и Windows 7 (или Windows Server 2008)
- УТ 10.3.10.4, платформа 8.2.10.82, СрезПоследних регистра
- Почему назвали Windows 7 и Windows 8?
- Acer Aspire V5 511 с Windows 8, как установить Windows 7
- Где взять надежные дистрибы ubuntu 10.10 и 10.4 ?
- Сервер 1С (Windows Server + SQL). Нужны ли лицензии Windows CAL?
- файловый сервер windows xp или windows 7
В этой группе 1С
- Не удалось записать: "Журнал проводок (бухгалтерский учет)"!
- Суммы в проводках документов по 41 счету нулевые
- Отказано в доступе при записи ТабДок
- УТ 10.3 + Атол 11Ф. Ошибка при выемке денег в течении смены
- Проверить доступность web-сервиса перед обменом.
- Ошибка чтения значения 1с 8
- Как отключить колонтитул только на последней странице?
- Розница 2.0 ПКО в кассу ККМ
- тонкая настройка RLS в БСП 2.4.2.124
- Как проверить в запросе на пустую дату
- Сериализация таблицы значений
- Дата среза последних в регистре сведений по умолчанию.
- Оптимизация получения GUID по COM-соединению
- СКД не выводить параметр в шапку
- СКД переделал выполнение отчета на свою кнопку пропала расшифровка в табличном документе
- ЗУП 3.1 Перенос начислений и удержаний
- ЗУП 2.5. Пилотный проект, дети-инвалиды
- Получение pdf файлов с сервера
- ЗУП 3.1 компенсация отпуска и остатки отпусков
- УФ Сохранение разных пользовательских настроек в форме списка в разных режимах