• Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

Асен Нейков

Някой сбъсквал ли се е с Cerber ransomware jan 2017 red?

21 мнения в тази тема

Публикувано (Редактирано)

   Здравейте, 

    Има ли някой колега с опит в борбата с този тип вредители? Боря се с един заразен файлов сървър и мисля варианти за спасяването на информацията от него. За момента сме взели решение да не плащаме откупа. Причината е, че ако се разделим с определена сума не е сигурно, че ще ни изпратят ключа за декриптиране. Откакто е излезнало съобщението, че е заразен, компютърът не е включван в интернет и не са правени промени по операционната система. В общи линии по информация от интернет все още няма излезнали инструменти за борба с последната ревизия на вируса. Много от сайтовете казват първо да се  да се изчисти вируса и тогава да се правят опити за декриптиране, но на мен ми се струва доста опасно, защото ако засече промени ще изтрие файловете. Безопасно ли е да се копира криптираната информация и на друг компютър и там да се правят опити за декриптиране и евентуално да се пазят файловете, докато излезе решение?  Има бекъп на част от информацията, но последните файлове, които се оказват и най- важни естествено, не са успели да минат бекъпа. 

    Единият от начините, който ще изпробвам днес е да заредя Windows Live от USB и да търся нещо с Shadow Explorer. За друго не се сещаме с колегите. 

    Готови сме да платим на някой, ако успее да възстанови файловете.

                    

Редактирано от Асен Нейков

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Отговорено (Редактирано)

а като цяло backup или облачна услуга не ползвате ли,към днешна дата си е ,,лукс,, да се държи база на локален сървър,сигурен съм,че е бил и пуснат в нета ? Колко ви е поразената база като обем ? от сега ви казвам,не се борете с вятърните мелници,ще загубите много време без резултат.Най-често се лепят тия твари през майл клиент и колко пъти съм ги съветвал,четете подателя !!!

Редактирано от wowefect
1 човек хареса това

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

    Тази неприятна случка се получи във време, когато с колега си препредаваме един сървър и докато успея да проверя какво има настроено и какво няма, белята стана. Дори същия ден щях да инсталирам истинска бекъп машина, защото до сега файловете са се мятали от самия файлов сървър на eдин NAS в shared folder.  Истинко чудо е, че и него не го засегна, защото го бях изключил от мрежата. Поразени са всичките файлове, защото вирусът е започнал да криптира навръх Нова година в 1.15 и до 3-ти вече нямаше останало нищо. От логовете на Windows-a става ясно, че вирусът е успял да съдаде нов потребител с административни права и с него е направил маса поразии по системните файлове. 

    В мрежата на файловия сървър има 15 компютъра. Ако заразата е дошла по пощата щеше да се зарази някоя от потребителските машини и евентуално през нея да заминат споделените директории. Интересното в случая е, че се зарази директно Windows Server-a и започвам да подозирам зла умисъл на някого с достъп до машината. Логовете не показват някой да се е свързвал с нея през RDP.

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

е кой има права за тази машина отдалечено ?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Свържи се с антивирус вендорите и ги карай да ти направят декриптор.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
преди 8 минути, NetworkPro написа:

Свържи се с антивирус вендорите и ги карай да ти направят декриптор.

не че нещо,но имаме случай от миналия юли и все още го правят конкретно за нашия случай декриптора !

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Каква е ОС /  файловата система ?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Windows Server 2012 r2 е операционната система. До колкото ми е известно достъп няма друг, защото смених паролите. Логовете показват, че вируса си е създал нов потребител с административни права и така е започнал да действа.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Преди 19 часа, wowefect написа:

а като цяло backup или облачна услуга не ползвате ли,към днешна дата си е ,,лукс,, да се държи база на локален сървър,сигурен съм,че е бил и пуснат в нета ? Колко ви е поразената база като обем ? от сега ви казвам,не се борете с вятърните мелници,ще загубите много време без резултат.Най-често се лепят тия твари през майл клиент и колко пъти съм ги съветвал,четете подателя !!!

И там няма гаранция, че няма да бъдат поразени.

Аз ползвам облака, но имах неблагоразумието, да дам автоматично синхронизиране с компа, в резултат на което и компа и облака бяха поразени от вируса.

Добре, че беше само за тест, та бяха затрити малко файлове и ги имах на друг компютър.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
преди 24 минути, dabadaba написа:

И там няма гаранция, че няма да бъдат поразени.

Аз ползвам облака, но имах неблагоразумието, да дам автоматично синхронизиране с компа, в резултат на което и компа и облака бяха поразени от вируса.

Добре, че беше само за тест, та бяха затрити малко файлове и ги имах на друг компютър.

каква облчна система си ползвал  ?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Отговорено (Редактирано)

Няма смисъл да се мъчите или да си платите шанса да ви декриптнат файловете е 0% а за да изисквате от която и да е компания за декриптер трябва да си плащате поне от 2 години лиценз при тях и то само няколко компании предлагат подобен тип услуга. За напред може да си криптирате важната информация с TrueCrypt и така да я качвате и по облаци

Редактирано от Null

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Отговорено (Редактирано)

Преди 3 часа, Null написа:

Няма смисъл да се мъчите или да си платите шанса да ви декриптнат файловете е 0% а за да изисквате от която и да е компания за декриптер трябва да си плащате поне от 2 години лиценз при тях и то само няколко компании предлагат подобен тип услуга. За напред може да си криптирате важната информация с TrueCrypt и така да я качвате и по облаци

дай идея за автоматизация>разгледах програмката,но си представи ежедневен архив на базаданни и все да седиш и да цъкаш на програмката да криптираш 

нали идеята е да автоматизираме процеса>архив>криптиране>облак

аз лично използвам следната методика>програма за архивиране и правене на backup file всеки ден в определен файл,след това на самата програма има опция за заключване чрез парола която сам избираш след това ниво на различни алгоритми на крипртиране>AES,3DES,BLOWFISH,SERPENT,XOR и др. След това този критиран файл го засилвам в облака и досега няма ядове.

Препоръки за читави облачни системи ако може да се внесе като допълнение на темата,ще е полезна информация за всички

Редактирано от wowefect

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Преди 11 часа, wowefect написа:

каква облчна система си ползвал  ?

OneDrive, която си върви с виндос 10

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Преди 2 часа, dabadaba написа:

OneDrive, която си върви с виндос 10

google drive по ми допада като цяло !

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

pcloud дават се доста пари и все още никой не е могъл :)  http://pcworld.bg/24621

TrueCrypt си има опция кога какво и как да маунтва и да ънмаунтва скрипт с бекъп + задачи за изпълнение към TrueCrypt се правят лесно а и като цяло всичките тия "вируси" които заключват файловете ви ползват dns resolve за обратна връзка с автора им така че просто спирате днс-а на машината където правите бекъп или каквото там правите и нямате проблеми и шанс да бъдете заразени с каквото и да е заявките ще вървят само по ИП адреси филтрирате си мрежите нямате resolve щракате с пръсти :)

https://www.pcloud.com/challenge/ 

1 човек хареса това

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Относно файловете - обикновено тези вируси криптират даден файл и после изитриват оригинала - оригиналния файл си седи на HDD освен ако нещо не се запише върху него. Т.е. всякакъв вид софтуер за спасяване на изтрити данни върши работа в случая.
Аз бих си клорнирал целия HDD на отделен диск (RAW или побитово копи - което не гледа вида на файловете) и после ще си играя на отделна машина - но клонирания HDD да не е системен диск - т.е. boot-ваш от друго HDD.
 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
На 13.01.2017 г. at 1:28, Null написа:

pcloud дават се доста пари и все още никой не е могъл :)  http://pcworld.bg/24621

TrueCrypt си има опция кога какво и как да маунтва и да ънмаунтва скрипт с бекъп + задачи за изпълнение към TrueCrypt се правят лесно а и като цяло всичките тия "вируси" които заключват файловете ви ползват dns resolve за обратна връзка с автора им така че просто спирате днс-а на машината където правите бекъп или каквото там правите и нямате проблеми и шанс да бъдете заразени с каквото и да е заявките ще вървят само по ИП адреси филтрирате си мрежите нямате resolve щракате с пръсти :)

https://www.pcloud.com/challenge/ 

ако нямаме днс на машината как да качваме в облака ? ?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

не ти трябва DNS за да качваш където и да е а и предполагам че облака ви има API :) като искате оставете си ДНС-а отрежете всичко от него и към него освен облака ви но като цяло не ви е нужен

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

format c:

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Преди 12 часа, Mile написа:

format c:

# mkfs.ext4 /dev/sdaX

1 човек хареса това

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

hqdefault.jpg

1 човек хареса това

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!


Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.


Вписване