Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Start::
CreateRestorePoint:
Startup: C:\Users\July\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-23] () [File not signed]
Startup: C:\Users\July\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost.exe [2020-05-23] (Microsoft Corporation -> Microsoft Corporation)
Reboot:
End::
Их можно попробовать восстановить (смотрите мою подпись).На диске D множество 1с баз, они являются основной задачей восстановления.
RDP через VPN? В любом случае смените пароли на проверьте, что все обновления безопасности установлены.только по RDP
Зашифровало только файлы к которым имеет доступ конкретный пользователь.Ограниченно в каком плане?
Нет их запускают или преступники (в случае взлома/подбора пароля на RDP) или пользователи в случае если получили письмо с вредоносом. В вашем случае скорее всего ручной доступ т.к. (если судить по созданным папкам). В любом из случае будет проводиться поиск доступных файлов в сети. Как получен доступ, вопрос открыт, особенно если ноутбук пользователя не под подозрением.Могут ли быть автоматически запущенны исполняемые файлы шифровальщика при подключении посредству RDP
Нет. Подключений через VPN нет. Есть подозрение на проброшенный порт до этой машины. Но там точно не 3389. Вопрос оставляю на социальную инженерию. На шлюзе нет информации, все как говорит пользователь в пт закончил в пн начался новый туннель. По виртуальным машинам я уверен, они изолированы друг от друга.Обычно так и есть. Если рассматривать атаку на RDP преступники получают доступ к взломанной машине и проводят разведку (вручную или при помощи софта) и запускают шифровальщик который шифрует все доступные файлы (включая "доступные на запись" по сети). Разобрались как им удалось войти через vpn?
Что-то подобное?Или кто то нашел уязвимость в сетях Hyper-V
В статье не описываются следы, возможно. Машина на win 7 была. Ну опять же она за шлюзом, там хоть хп, какбл. Хосты в первом квартале 20 обновлялись.Что-то подобное?
Microsoft исправила непризнанную сначала уязвимость в RDP
Компания выпустила патч, когда стало известно, что уязвимость также затрагивает Hyper-V.www.securitylab.ru
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?