safety
ответил вам в переписке
Комментарии
-
+добавь по ссылке, если на сервере сохранились логи сканирования Cureit (поместить в архив), возможно в подобных случаях используется сокрытие вредоносных программ с функцией руткита.
-
политики IPSec нет, но есть групповые политики, скорее всего добавленные админами. (Quote) +
вопрос:
эта учетка была с правами администратора?
A_Dmitriev (S-1-5-21-3830479037-1715736442-2857665421-1003 - Administrator - Enabled) … -
да, можно образ автозапуска + можно сделать логи FRST
-
Если есть такая возможность - надо установить все критические обновления безопасности для системы.
+
можно проверить, не добавилась ли опять политика безопасности IPSec -
Emsisoft Releases a Decryptor for the Amnesia Ransomware
(Quote)
https://www.bleepingcomputer.com/news/sec… -
вот этот скрипт с отключением политики IPSEC
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты -… -
все чисто, за исключением того, что политика IPSEC включена.
-
Cerber Ransomware Version 6 Gets Anti-Vm and Anti-Sandboxing FeaturesРаздел: Шифровирусы шумною толпою... Комментарий от safety May 2017
-
-
Майк Гилеспи обновил сервис IDR. Теперь идентификация Ransomware возможна дополнительно по e-mail и btc address.
(Quote)выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем вс…хорошо, сейчас проверю.по последнему образу все ок.
за исключением сообщения в логе:
(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\DAVCLNT.DLL
если ошибок в работе сервера нет, то можно в качестве прфилактики …вот еще из лога:
(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\DAVCLNT.DLL
можно запустить командной строку с правами администратора.
и выполнить команду:
(Quote)выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем вс…еще раз выполни новый скрипт:
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скри…выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем вс…или можно сразу убить этот файл,
C:\WINDOWS\SECURITY\MSIEXEV.EXE
пока он не запустился, а затем сделать новый образ автозапуска.ок, сейчас гляну образ.
1. желательно переделать образ актуальной версией uVS
3.87 уже устарела.
uVS v3.87 [http://dsrt.dyndns.org]: Windows Server 2008 R2 Enterprise x64 (NT v6.…Раздел: Shadow Brokers выпускает новые файлы, раскрывающие уязвимости Windows Комментарий от safety April 2017(Quote)
Разработчик AES-NI ransomware утверждает, что недавний «успех», которым он наслаждался, связан с эксплойтами NSA, опубликованными на прошлой неделе групп…@PolarToffee noticed a #Globe v3 #Ransomware submission that seems like it wants to mimic Dharma. Ext. ".[no.torp3da@protonmail.ch].wallet"RensenWare будет расшифровывать файлы, в том случае если жертва получит 0,2 миллиарда в игре TH12
Когда RensenWare закончит шифрование компьютера, на нем появится выкуп с капитаном Минамицу Мурасой из серии Touhou Project по стрельбе из …Таким образом реализована атака на пользователя через вложенный в почту pdf документ: