|
Вирус, шифрующий файлы. Что делать? | ☑ | ||
---|---|---|---|---|
0
DJ Anthon
15.10.12
✎
06:44
|
Антивири их не видят. Тема была уже тут. Вирус, шифрующий файлы...
Как от него уберечься? Каспер просто-напросто был выключен, как и кем, непонятно. Несмотря на пароли и юзерский доступ. Где дыра? |
|||
1
Нуф-Нуф
15.10.12
✎
07:00
|
Будь мужиком! Заплати, блеать! Просмотр порно того стоит
|
|||
2
Тоненький Клиент
15.10.12
✎
07:09
|
только оплата
было такое, заплатили 10 тыров пиратам |
|||
3
Тоненький Клиент
15.10.12
✎
07:09
|
что самое печальное , 2 базы убились
|
|||
4
DJ Anthon
15.10.12
✎
07:16
|
у меня бэкапы есть. больше платить не хочу. я спрашиваю, как защититься от этого в будущем? я не админ, кстати
|
|||
5
DJ Anthon
15.10.12
✎
07:18
|
(1) при чем тут порно? я его качаю не ехешниками, ежелифчо. а людям так-то надо работать с разными файлами, в том числе исполняемыми.
|
|||
6
SmallDog
15.10.12
✎
07:18
|
штука зеленых + проезд в гондурас
|
|||
7
DJ Anthon
15.10.12
✎
07:22
|
вообще мне хочется узнать, через что он проникает, ломает фаервол, через радмин, тим, рдп или вообще это всякие ТП запускают что ни попадя?
|
|||
8
SmallDog
15.10.12
✎
07:22
|
(4) защиты НЕТ, есть меры предосторожности
|
|||
9
DJ Anthon
15.10.12
✎
07:22
|
(6) я уже там ((
|
|||
10
DJ Anthon
15.10.12
✎
07:23
|
(8) уевенько. придется повышать ценники, чтобы еще и мерами предосторожности заниматься
|
|||
11
SmallDog
15.10.12
✎
07:24
|
есть простое правило - "что человеком сделано - всегда может быть сломано"
|
|||
12
SmallDog
15.10.12
✎
07:26
|
(9) не тебе билет
|
|||
13
BuHu
15.10.12
✎
07:33
|
(0)наш админ после горького опыта закрыл доступ всем запускать экзешники на сервере , мне сделал папку из которой я могу запускать экзешники
|
|||
14
GStiv
15.10.12
✎
07:55
|
Как правило через подбор паролей по RDP на 2008 поставили аудит на вход, за ночь были до пару тысяч попыток подключений. В учетной политике ограничили количество попыток ввода паролей до 5 и потом блокировку на 4 часа, через пару недель интерес к нам потеряли
|
|||
15
IVIuXa
15.10.12
✎
08:01
|
(14)
подбор паролей - он же брутфорс - абсолютно не эффективный взлом можно даже не париться |
|||
16
IVIuXa
15.10.12
✎
08:04
|
+(15)
в локалке через пару лет еще можно что то сбрутфорсить а в инете без толстого канала - даже делать нефиг самый эффективный способ - протроянивания лопухов через торенты |
|||
17
Lenka_Boo
15.10.12
✎
08:04
|
(0) 100% из "вконтакте" и "одноклассников"
|
|||
18
BuHu
15.10.12
✎
08:05
|
(17) могут и по почте прислать ,в одном филиале директор решил дрова для вебки поставить на сервер
|
|||
19
Kavar
15.10.12
✎
08:06
|
(17)+1
После того как запретили выход на соцсети - ни одного случая блокировщика не было. |
|||
20
Lenka_Boo
15.10.12
✎
08:09
|
+(17) Помню еще фигня всякая лезла через "защиту" от яндекса и примочку от "вконтакте" VK чего-то там.
Mailguard замечен не был, но я его все равно грохаю. (18) Вот от психологического развода лохов "нажми кнопочку" ничего не помогает к сожалению... |
|||
21
aka AMIGO
15.10.12
✎
08:13
|
а у нас закрыто скачивание любых *.ехе
и это правильно. прокси - это голова! © :) только мне, по моему письменному заявлению, разрешено скачивать cureit! с соответствующего сайта :) |
|||
22
aka AMIGO
15.10.12
✎
08:23
|
+21 да, кстати о... вирусах.. у нас ни на одном из 35 компов в офисе нет авиря.
я как-то спросил у злых админов, почто такое игнорирование, мне возответствовали: если проявлять аккуратность во всем, авирь не нужен. |
|||
23
DGorgoN
15.10.12
✎
08:30
|
(22) А что мешает скачать *.exe в архиве?
Да и много других расширений есть запускаемых. |
|||
24
dmpl
15.10.12
✎
08:30
|
(21) Гм... вирь может и *.jpg сидеть. Или в *.scr
(22) Ага, ага. А еще они презервативами не пользуются - ведь если вовремя вытащить, то залета не будет ;) |
|||
25
DJ Anthon
15.10.12
✎
09:06
|
(21) а если это надо по работе? а вообще у меня в терминале не работают в браузерах, там нет ни одноклассов и вк, ни прочей лабуды. нашел, что вирь оказался у одного из юзеров, на запущен он был в 7 утра, в это время никто в базе не работает. пароль у него был 4 цифры. кто-то целенаправленно его сбрутить? или вирь ждал "своего" часа?
|
|||
26
rphosts
15.10.12
✎
09:10
|
Защита на будущее? Бэндмауэр, постоянно активный антивир, отрубить нафиг автозапуск со съёмных..... задать тот-же вопрос на форумах др.Веб и Касперский.
|
|||
27
DJ Anthon
15.10.12
✎
09:11
|
(26) там заданы сотни таких вопросов, антивирь у меня постоянно активный и обновленный, вся прочая херь отрублена. однако, каспер был отключен. видимо, ругался, но чел его отключил. надо опять пароли везде ставить ((
|
|||
28
Бледно Золотистый
15.10.12
✎
09:13
|
(26)+ в инете сидеть на виртуальной машине
|
|||
29
DJ Anthon
15.10.12
✎
09:16
|
(28) нам все это не помогло
|
|||
30
rphosts
15.10.12
✎
09:16
|
(27) так не у тебя? Конечно пароль, щас расскажу как оно было с вероятностью в 50%: чел притаранил ДВД с игрой, при попытке утановить антивир сказал чтоб чел шёл лесом, лесом пошёл антивир а следом и тебя позвали.... лечил такие компы...
|
|||
31
rphosts
15.10.12
✎
09:17
|
(28),(29) вроде как у гугля нет режимов кроме песочницы... ну и кукописание тоже отрубить нафиг!
|
|||
32
DJ Anthon
15.10.12
✎
09:23
|
(30) двд с игрой?? по терминалке??
|
|||
33
DJ Anthon
15.10.12
✎
09:24
|
(30) в 7 утра???
|
|||
34
DJ Anthon
15.10.12
✎
09:26
|
вероятность 90% - зашли под логином юзера (кто, не знаю) зашли в оперу, скачали ехешник с файлообменника, запустили, каспер ругнулся, его отключили, запустили снова, отключились и все. все файлы целы, кроме 1С, так как у юзера доступ открыт только к ней. поставлю скуль, че еще делать (((
|
|||
35
rphosts
15.10.12
✎
09:27
|
(32) не, локально. У теб точно всё через RDP пролезло?
|
|||
36
DJ Anthon
15.10.12
✎
09:27
|
вопрос, как узнали про список юзеров и их пароли? пароль простой, но юзер - Юрий, сомневаюсь, что это подбором выяснилось.
|
|||
37
DJ Anthon
15.10.12
✎
09:28
|
(35) точно. локально даже я подойти к компу не могу, он в сейфе
|
|||
38
rphosts
15.10.12
✎
09:29
|
(34) за оставленгие парола на бмажке на столе или на стикере на мониторе бить по рукам! Универчаотное наказание - отрубить юзе5ру тырне на неделю - пусть ценит!
|
|||
39
DJ Anthon
15.10.12
✎
09:32
|
(38) и че, ты думаешь, у нас по организациям ходят специально обученные люди и вынюхивают пароли на бумажках?? у меня это второй случай за месяц, тогда пришлось заплатить, совершенно другая структура, но там пароль был - Администратор - 111.
|
|||
40
rphosts
15.10.12
✎
09:35
|
(39) сильный пароль! Теперь думаю что-то типа 123123
|
|||
41
DJ Anthon
15.10.12
✎
09:38
|
(40) ага ))) и поставили его люди, которые у нас в городе считают себя самыми крутыми в городе по безопасности и доступу.
|
|||
42
SmallDog
15.10.12
✎
09:38
|
(14-15) выставлять rpd наружу-оторвать ноги тому админу
|
|||
43
Fish
15.10.12
✎
09:39
|
(41) Вот ты и ответил на свой вопрос "Где дыра?". Дыра по ходу в головах админов :))
|
|||
44
DJ Anthon
15.10.12
✎
09:45
|
(43) там да, но здесь? Админский пароль крепкий, и видно, что дальше юзерского доступа ничего не повреждено. как Юрия "взломали", блин? процесс непонятен. хотя, у меня авторизация стоит такая, что список юзеров виден, может, в этом дело? хорошо хоть бэкапы делал..
|
|||
45
DJ Anthon
15.10.12
✎
09:48
|
(42) а как работать? люди в разных городах. впн сами настроить не могут.
|
|||
46
КУНГ ФУ 1С
15.10.12
✎
09:49
|
(0) думаю стоить скачать вирус которые расшифровыввает файлы )
|
|||
47
DJ Anthon
15.10.12
✎
09:50
|
(46) спасибо, кэп. только я про другое спрашивал. судя по всему, какой файл зашифровывает, такой же и расшифровывает, запрашивая код. код, судя по всему, пустышка, а шифратор - обычный хор.
|
|||
48
raykom
15.10.12
✎
09:52
|
(0)Ты бы хот запостил сигнатуру, да что там еще есть про него. На всяк случ. Почитали бы, что за сверь.
|
|||
49
bushd
15.10.12
✎
09:53
|
Ответ один - БЭКАП.
|
|||
50
DJ Anthon
15.10.12
✎
09:54
|
(49) не подскажешь чем делать, кстати? чтоб на болванки писал и на фтп
|
|||
51
DJ Anthon
15.10.12
✎
09:54
|
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024. Все зашифрованые файлы имеют формат .EBF Восстановить файлы можно только зная уникальный для вашего пк пароль. Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. Не в коем случае не изменяйте файлы! Напишите нам письмо на адрес [email protected] (если в течение суток вам не ответят то на [email protected]) чтобы узнать как получить дешифратор и пароль. Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер. Среднее время ответа специалиста 1-5 часов. К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt". Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы! ==================================================================== hHW33yopZ5WnXSLbqfrOSiv736udwRrt ==================================================================== (48) тела вируса нет, он сам себя уничтожил, но копию зашифровал, может, смогу расшифровать, он в зипе. |
|||
52
DJ Anthon
15.10.12
✎
09:55
|
(если в течение суток вам не ответят то на [email protected]) бгггггг вот тролли ))) либо супер лохи
|
|||
53
bushd
15.10.12
✎
09:58
|
(50) Не, сам не знаю (нету времени занятся, проги точно есть) - сам раздолбай бакаплю (архиватором) только важную инфу на внешний диск. А надо бы тупо весь рабочий диск и системный тоже.
|
|||
54
Fish
15.10.12
✎
10:02
|
(51) "Ни один системный администратор в мире не решит эту проблему не зная кода" - Поржал. :))) А вот интересно, если им заплатишь, то действительно всё расшифруют?
|
|||
55
DJ Anthon
15.10.12
✎
10:13
|
(54) если RSA1024, то да. если XOR, что половина точно...
в первый раз платили, время было дорого. |
|||
56
DJ Anthon
15.10.12
✎
10:15
|
больше удивляет то, что кто-то подключился и напакостил. Юра виноват только в том, что у него слабый пароль. сам он вряд ли че бы сделал. в 7 утра у нас даже менты спят
|
|||
57
raykom
15.10.12
✎
10:16
|
(0)Тут вот эту темку перетирают.
http://www.yaplakal.com/forum32/topic478362.html Тут вот чувак делится конкретным опытом. Обширно но и проблеммка не из копеечных. Так что читай внимательно. http://tyugashev-va.livejournal.com/749.html |
|||
58
raykom
15.10.12
✎
10:19
|
(0) Тут вот вроде от Майкрософт патч
http://www.securitylab.ru/vulnerability/430176.php |
|||
59
DJ Anthon
15.10.12
✎
10:37
|
(58) там вроде ие используется. у меня ие никто не запускал. другие говорят, что рдп пароль сбрутили, с чем и я согласен. видно же как что делали. не понятно, как в систему зашли. Blowfish алгоритм, хер сломаешь
|
|||
60
DJ Anthon
15.10.12
✎
10:38
|
и у меня автоматическое обновление, если что
|
|||
61
raykom
15.10.12
✎
13:39
|
(59)(60) Т.е. (57) ты читать не стал ...
|
|||
62
DJ Anthon
15.10.12
✎
15:12
|
(61) если бы вы внимательнее посмотрели, то увидели, что он там пишет про Xorist, а у меня Cryptor, который использует Blowfish, и, естественно, я пытался найти те файлы, даже среди удаленных, но, код вируса уже другой и, возможно, он кодирует на ходу. не используя временные файлы, я нашел только делетеры
|
|||
63
SmallDog
15.10.12
✎
15:25
|
(62) логины снимаются как здрасти, к вопросу: как они имя вычислили
|
|||
64
IVIuXa
17.10.12
✎
06:57
|
(42)
не говори в чем не соображаешь |
|||
65
IVIuXa
17.10.12
✎
07:17
|
(63)
как интересно ? |
|||
66
IVIuXa
17.10.12
✎
07:27
|
(0)
Для борьбы с вредоносными программами семейства Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev предназначена утилита XoristDecryptor. http://support.kaspersky.ru/faq/?qid=208637174 http://support.kaspersky.ru/downloads/utils/xoristdecryptor.exe |
|||
67
DJ Anthon
17.10.12
✎
07:42
|
(66) не работает для половины вирусов
|
|||
68
DJ Anthon
17.10.12
✎
07:44
|
кстати, никто не подскажет, как сделать загрузку 1ски вместо шелла? в 2003-м это автоматом настраивалось, а в 7 как? прописал ее пока что как шелл, но она так запускается для всех юзеров (MachineAccount), а конкретно каждому прописать не удается, не могу найти юзерские аккаунты в реестре. они в 7ке разделены теперь по разным файлам? и еще надо завершить сеанс после закрытия 1С, остается черный экран. ща гляжу в сторону аутоита.
|
|||
69
zak555
17.10.12
✎
07:55
|
откуда вирус поймал ?
|
|||
70
IVIuXa
17.10.12
✎
08:00
|
(68)
На сервере в настройках пользователя-закладка "Среда". Ставиш галочку "При входе в систему запускать следующую программу" и указываете путь к программе. При входе в терминал запускается только 1с без рабочего стола. так пойдет ? |
|||
71
IVIuXa
17.10.12
✎
08:02
|
(67)
вроде ее обновляют периодически |
|||
72
rphosts
17.10.12
✎
09:26
|
(70) этого мало, Shift+Ctrl+Esc после этого отрабатывает как и кнопочка Win и др.
у нас была самописка в которой при загрузке на экране было меню из списка баз - по какой кликнешь - та и загружается... что-б чего настроить - нужно было в 1 ихз углов кликнуть и ввести пароль - тогда десктоп становился доступен. и только так!!! |
|||
73
rphosts
17.10.12
✎
09:26
|
+(72) самаписка на закладке "Среда" была в автозапуке указана
|
|||
74
Сказочный Баобаб
17.10.12
✎
10:22
|
кто платил?
мы 10 тыс не платили! вот вы и кормите! Касперский сказал - это не вирус типа - это шифровальщик и его юзеры запускают |
|||
75
Alex S D
17.10.12
✎
10:24
|
скинь вирус плиз, поюзать
|
|||
76
Сказочный Баобаб
17.10.12
✎
10:30
|
касперский забавен - говорит что создает новую операционную систему и заодно пропускает все шифровальщики - типа не вирус
|
|||
77
Jump
17.10.12
✎
11:33
|
(76)А это не вирус. Он не размножается.
А насчет вредности - по каким формальным признакам прикажешь отличать вредный шифровальщик, от скажем трукрипта, которым ты пользуешься? |
|||
78
DJ Anthon
17.10.12
✎
11:37
|
(70) я про вин7, а не про сервер
|
|||
79
DJ Anthon
17.10.12
✎
11:38
|
(77) по факту вымогательства
|
|||
80
DJ Anthon
17.10.12
✎
11:38
|
(74) так это и не вирус, это вредоносная программа, если чО
|
|||
81
DJ Anthon
17.10.12
✎
11:39
|
(75) я тебе где его возьму?
|
|||
82
Jump
17.10.12
✎
11:40
|
(80)В семерке в интерфейсе таких настроек разумеется нет.
Ибо там РДП немного для другого, нежели для терминала. Хотя настроить думаю можно, ежели реестр поковырять. |
|||
83
DJ Anthon
17.10.12
✎
11:41
|
(72) с чего ты взял?
|
|||
84
DJ Anthon
17.10.12
✎
11:42
|
(82) во-во, писать буду софтиночку-мониторчик. 1С отлично запускается вместо шелла, даже пуск никак не вернешь )
|
|||
85
rphosts
17.10.12
✎
11:51
|
(83) ну я когда-то типа как тестил.... находил кое какие лазейки с ходу... понтно что 90% юзеров их не найдёт, но ведь есть и другие 10%...
потом у нас там под терминалом была не только 7.7 но и датакрипт и ещё чегой-то (уже не помню)... не делать-же ещё учётку в актив директори что-бы юзер мог другое ПО запутить на том-же сервере |
|||
86
kokamoonga
17.10.12
✎
16:19
|
(42) вот уже стопиццотый раз читаю здесь про то что нельзя RDP наружу показывать и стопиццотый раз задаюсь вопросом "а чего это вдруг?"
ответы типа "ну несекьюрно же" не катят. можно развернутый ответ почему нужно админу ноги отрывать за выставление RDP наружу? есть какие-то критические уязвимости? готовые эксплойты? брутфорс не предлагать. |
|||
87
Гинзбург
17.10.12
✎
16:22
|
Рыба как всегда туп
|
|||
88
Гинзбург
17.10.12
✎
16:26
|
(68) они и в нт4 были разъединены по разным файлам, а так
hkcu\software\microsoft\windows nt\currentversion\winlogon\shell |
|||
89
DJ Anthon
17.10.12
✎
16:46
|
(87) какая рыба?
(88) только вот почему-то в серваке все юзеры доступны, а в обычной винде - только текущий. и кстати, по этому адресу у меня ничего нет, создавать свои ключики? |
|||
90
Гинзбург
17.10.12
✎
16:47
|
(89) в ветке разве много рыб ?
|
|||
91
Гинзбург
17.10.12
✎
16:47
|
(89) а пусть они разлогинятся на сервоке, а ты позырь
|
|||
92
DJ Anthon
17.10.12
✎
16:50
|
(90) не вижу ни одной
(91) и что я увижу? |
|||
93
DJ Anthon
17.10.12
✎
16:51
|
(90) аа, вот оно че, я просто использую треугольнички, поэтому рыб не вижу
|
|||
94
Гинзбург
17.10.12
✎
16:51
|
(92)
а ты позырь а ты позырь |
|||
95
DJ Anthon
17.10.12
✎
16:52
|
(92) вот сервак 2003. ща никто не залогинен. вижу всех. что я делаю не так? вот 7ка. никто не залогинен. вижу только себя.
|
|||
96
Сержант 1С
17.10.12
✎
16:53
|
> Несмотря на пароли и юзерский доступ. Где дыра?
> каспер ругнулся, его отключили, > все файлы целы, кроме 1С, так как у юзера доступ открыт только к ней. ты сам себе противоречишь |
|||
97
Гинзбург
17.10.12
✎
16:53
|
все ветки пользователей в независимости от системы начиная с нт3.51 в профайлпользователя\нтусер.дат
|
|||
98
Гинзбург
17.10.12
✎
16:54
|
(95) точно не залогинены ? или только прерваны сеансы ?
|
|||
99
Сержант 1С
17.10.12
✎
16:54
|
1. отключать/включать антивирь можно только тому, кто отвечает за безопасность. Остальным категорически нельзя.
2. Права должны быть настроены. Общий принцип как с долгами, в долг можно дать только ту сумму, которую не жалко потерять. Если юзер имеет права на данные, значит рано или поздно им хана. |
|||
100
Нуф-Нуф
17.10.12
✎
16:56
|
100
|
|||
101
DJ Anthon
17.10.12
✎
16:56
|
(96) доступ к касперу не был закрыт, я его установил в пятницу, пробный период, но не настроил, потому что был занят, в понедельник поехал за ключиком в магаз, когда приехал и хотел взяться за настройку, уже было поздно. он был выключен. юзеры могут выключать каспера, если на нем пароля нет, разве нет?
|
|||
102
DJ Anthon
17.10.12
✎
16:58
|
(99) прекрасно знаю, я просто еще не успел настроить. да и кто за пять тыщ в месяц будет настраивать сервак? этого еле хватает на поддержание 1С в работоспособности. поэтому отложил до тех времен, когда обращений по 1С будет не больше чем на эти несчастные копейки. сразу после виря сумму повысили, так что ща комар носа не подточит
|
|||
103
DJ Anthon
17.10.12
✎
16:59
|
(98) простите, вы правы, как всегда...
|
|||
104
DJ Anthon
17.10.12
✎
17:02
|
(86) думаю, имеется в виду необходимость впн
|
|||
105
DJ Anthon
17.10.12
✎
17:05
|
(96) а доступ к файлам был открыт, потому что файловая 1Ска. разве можно сделать так, чтобы доступа к файлам не было, а доступ к базе был? и решит ли проблему скуль?
|
|||
106
Гинзбург
17.10.12
✎
17:05
|
если что рдп умеет разбираться с публичными и личными ключами
|
|||
107
Гинзбург
17.10.12
✎
17:06
|
(105) скуль решит проблему хоть какой то защиты файлов данных от непосредственного вмишательства
|
|||
108
DJ Anthon
17.10.12
✎
17:06
|
(106) что вы имеете в виду?
|
|||
109
DJ Anthon
17.10.12
✎
17:08
|
(107) ну да, так и придется сделать, для начала.
а может, подскажете, как закрыть автоматом сеанс после завершения 1С, даже аварийного? без загрузки эксплорера. |
|||
110
Гинзбург
17.10.12
✎
17:09
|
(108) для разрешения подключения к рдп можно использовать сертификаты (почему то мало кто в России таковое пользует, покрайней мере на уровне ларьков)
|
|||
111
DJ Anthon
17.10.12
✎
17:10
|
(110) эх, никогда не сталкивался с этим, наверное, потому что на уровне ларьков... а сертификаты у пользователей должны быть всегда с собой, да? на флешках? или они привязываются к компам? или возможно куча вариантов?
|
|||
112
kokamoonga
17.10.12
✎
17:11
|
(104) вопрос в том только зачем имеется в виду VPN если RDP протокол умеет работать с RSA и шифрованием
|
|||
113
DJ Anthon
17.10.12
✎
17:13
|
(112) может, в впне меньше дыр, чем в чистом рдп, я не знаю, люди говорят, что венду вообще низя для этого использовать
|
|||
114
Гинзбург
17.10.12
✎
17:13
|
(109) он должен сам закрываться если то запуск в программе запуска рдп
а так, самое простое пакетник типа @echo off start "" /w "1c.exe" logoff или шел=new ActiveXObject("WScript.Shell"); шел.Run(ПолныйПутьКАдинес,,-1); шел.Run("cmd /c logoff",,-1); |
|||
115
Сержант 1С
17.10.12
✎
17:14
|
(57) спасибо, бро
|
|||
116
kokamoonga
17.10.12
✎
17:14
|
(113) так я ж не с целью потроллить или холивар начать вопрос задаю. мне правда интересно почему нельзя RDP голый вовне показывать, но слышу в ответ как правило ничего
|
|||
117
DJ Anthon
17.10.12
✎
17:16
|
(114) в серваке сам закрывается, а на 7ке че-то не хочет. может, фоном какой-нить монитор висит невидимый, которому эксплорер нужен. но логоф отрабатывает нормально.
за скриптик спасибо, его надо прописать в сценарии входа или сразу в винлогоне? |
|||
118
Гинзбург
17.10.12
✎
17:17
|
||||
119
DJ Anthon
17.10.12
✎
17:17
|
(116) да чего далеко ходить, вот я, к примеру, не первая и не последняя жертва такого выставления
|
|||
120
DJ Anthon
17.10.12
✎
17:18
|
(118) ух ты
|
|||
121
Гинзбург
17.10.12
✎
17:18
|
+(118) есть минимальный ридми запускать
1с-предприятие.bat setup (на сколько помню) |
|||
122
DJ Anthon
17.10.12
✎
17:19
|
(118) пасибо, поковыряю скрипты, много чего интересного...
|
|||
123
Гинзбург
17.10.12
✎
17:19
|
запускать на клиенте, если нету особых ограничений, сам все установит на сервере, и без прав
|
|||
124
kokamoonga
17.10.12
✎
17:20
|
(119) есть уверенность что взлом произошел именно через уязвимость RDP? может я невнимательно ветку смотрел... если речь идет о подборе пароля "111", то это не уязвимость RDP, а банальная глупость того, кто за безопасность отвечал на момент настройки и формирования правил безопасности.
|
|||
125
DJ Anthon
17.10.12
✎
17:24
|
(124) ну все равно, мне непонятно, как о серваке узнали, он такой махонький.. )) юзер в инет с него не выходил, тупо подключились и сделали свое грязное дело. сам юзер тупой как валенок, такое сам не сделает. но ведь у других юзеров, как потом выяснилось, пароли были еще проще. однако взломали через 4 цифры.
|
|||
126
DJ Anthon
17.10.12
✎
17:24
|
(123) эм... а что он должен установить?
|
|||
127
Гинзбург
17.10.12
✎
17:25
|
да, на х64 ни клиенте ни сервере не проверено
для работы динаврапа на х64 нужно немного переписать, на проверку ветки software\syswow6432note\ вроде и wscript.exe из syswow64\ а не из system32\ |
|||
128
Гинзбург
17.10.12
✎
17:26
|
(126) а он все предложит - права ему не нужны, все в пределах пользовательского профиля, как на клиенте, так и на сервере
|
|||
129
Гинзбург
17.10.12
✎
17:28
|
там скриншоты есть установки и работы
|
|||
130
zak555
17.10.12
✎
17:28
|
Гинзбург расскажи лучше про FILE_ATTRIBUTE_TEMPORARY здесь Свершилось чудо. Я нашел гибридный RAM диск
|
|||
131
DJ Anthon
17.10.12
✎
17:29
|
(129) вроде вижу, завтра буду колупать. а что с вашим основным ником?
|
|||
132
kokamoonga
17.10.12
✎
17:30
|
(125) вот о чем и говорю. взломали(если это действительно так) пароль из 4 цифр. каким боком тут RDP виноват? надо юзеров линейкой по пальцам бить и установить политику относительно минимальной сложности пароля или переходить на сертификаты если уж хочется совсем секьюрно.
что собственно мешает точно так же ломануть впн при слабом пароле? |
|||
133
lucifer
17.10.12
✎
17:31
|
то что антивирусы не палят, так это понятно такой вирус с точки зрения антивирусников не делает ничего подозрительного, да перебирает все файлы, да что-то пишет, но такие действия совершают почти каждая вторая программа (пишет в файлы что-то), к тому же если вирус закриптован, вот и обломался ваш антивирус.
|
|||
134
Гинзбург
17.10.12
✎
17:32
|
(131) год за "хулиганку"
(130) а что рассказывать - заставить адинес создавать временные файлы с таким атрибутом, с адинес не пробовал, а кто пишет свое должен позаботиться в коде (в случае необходимости) |
|||
135
rphosts
17.10.12
✎
17:34
|
(134) а какой основной-то?
|
|||
136
Rebelx
17.10.12
✎
17:35
|
(133) все равно не понятно, почему антивирь не ловит.
как я понял, процедура работы бяки такая: 1) проникает бекдор - вот как раз его и должен отловить антивирь. 2) человек через бекдор чтото шифрует - это конечно отловить нельзя 3) ... так почему п.1 проходит? |
|||
137
DJ Anthon
17.10.12
✎
17:36
|
(132) я тоже, пока сам не увижу, не убедюсь, мне и в лицо говорили, но примеров привести не смогли, видимо, это еще с времен CIH и других эксплоитов идет.
(136) в моем случае человек зашел не через бэкдор, а через фронтдор )) |
|||
138
lucifer
17.10.12
✎
17:38
|
(136) это смотря каким способом проникает, мб есть "дыры" в браузерах, мб комп был уже до этого заражен неким клиентом троянчика через которого тебе и закачалось гадость на комп. Знаю на античате есть много услуг по продажам "инсталов" т.е. платишь к примеру 3000 за то что твой вирус запустится на 1000 компах, как именно они запускают я уж не знаю.
|
|||
139
DJ Anthon
17.10.12
✎
17:40
|
(138) это засчет уже ботнетов, я думаю. хотя лохов ща на каждом шагу, хотя их ряды пополнять неприятно. вот на баше чел запустил "Драйвер для вашего принтера.exe" ваще умора. блин. пока сам не увидел это своими глазами. хорошо, антивирь на месте уже был.
|
|||
140
DJ Anthon
17.10.12
✎
17:42
|
(133) вообще-то программу признают вредоносной, если на нее много жалоб в вирлабы поступит, и антивирь уже начинает ее лечить, а другим способом в вирлабах ее и не заподозрят.
|
|||
141
lucifer
17.10.12
✎
17:46
|
(140) есть еще эвристический анализ
|
|||
142
DJ Anthon
17.10.12
✎
17:48
|
(141) ага, знаем мы этот эвристический анализ...
|
|||
143
lucifer
17.10.12
✎
17:49
|
+ (141) так же некоторые антивиры отслеживают те действия что совершает вирус, например при запуске вируса антивир промолчит, а когда вирус будет делать что-то подозрительное, антивирус его схавает
|
|||
144
DJ Anthon
17.10.12
✎
17:49
|
(141) на файлы данных он, как правило, не распространяется...
|
|||
145
DJ Anthon
17.10.12
✎
17:51
|
(143) вот, запустил я удаление каталога с файлами в любой программе, которая это может. что на это скажет эвристика?
|
|||
146
lucifer
17.10.12
✎
17:54
|
(145) ничего, вот поэтому я и написал в (133) что такие вирусы сложно запалить т.к. они не делают ничего "противозаконного"
|
|||
147
rphosts
17.10.12
✎
17:57
|
(143) называется - режим мониторинга
|
|||
148
rphosts
17.10.12
✎
18:11
|
(146) в исполняемые файлы мало кто чего пишет!
кста Antivir Task Manager - такие фокусы перекрывает в принципе |
|||
149
DJ Anthon
17.10.12
✎
18:30
|
(148) время вирусов ушло. время вымогателей пришло.
|
|||
150
rphosts
17.10.12
✎
18:44
|
(149) ну не только... кста, вт то что у вас было это правильнее называть трояном а не вирусом и такие обычно юзера сами себе ставят, скачав из тырнета какую-нить хрень и сами запустив её
|
|||
151
DJ Anthon
17.10.12
✎
19:10
|
(150) повторяю, ее не скачивал юзер, ее запустил непосредственно сам злоумышленник, скачав с файлообменника. там файл запаролен.
|
|||
152
Jump
17.10.12
✎
19:39
|
(151)Каким образом злоумышленник запустил программу на твоем компьютере?
|
|||
153
DJ Anthon
17.10.12
✎
19:42
|
(152) подключился по рдп
|
|||
154
Jump
18.10.12
✎
06:24
|
(153)Есть логи? И ты уверен что это не юзер?
Опять же подключение злоумышленника по RDP это повод гнать в шею системного администратора. Если уж открыл RDP наружу, без впн, то хоть запретил бы удаленный вход под администратором. |
|||
155
Jump
18.10.12
✎
06:25
|
Пароль по сети сбрутафорсить практически не реально.
Если это конечно не пароль 123. |
|||
156
rphosts
18.10.12
✎
07:12
|
(155) а ты ветку почитай - там пароль приведён.... ты удивишься!
|
|||
157
DJ Anthon
18.10.12
✎
07:52
|
(154) уверен, зашли в 7 утра. контора открывается в 10. и вирус был запущен не под админом, а под юзером, система цела. системного администратора нет в принципе, это ларек
(155) самое интересное, что в вин7 его сбрутить тоже нереально, он дает таймаут при неудачном входе. это мне и интересно, где он его запалил свой пароль. |
|||
158
DJ Anthon
18.10.12
✎
07:58
|
(156) пароль был не 123. это у другого юзера. под которым не заходили.
|
|||
159
DJ Anthon
25.10.12
✎
12:02
|
(114) а как сделать, чтобы в зависимости от условия грузился рабочий стол либо 1с? прописываю if exist ... "start /w explorer.exe" "start /w 1C", однако вместо рабочего стола грузится проводник. если же в шелле прописан explorer.exe, то все нормально.
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |