salve a tutti ragazzi....

nella mia azienda di famiglia ho un armadio rack composto da:

2 server ibm x3550 in cluster con vmware esxi

2 synology rs814+ in SHA come target iscsi delle macchine virtuali dei server

virtual machine 1 - windows 2011 sbs (controller di dominio + exchange per posta)

virtual machine 2 - windows 2012 standard (server rds)

diversi thin client che si collegano al 2012 con i loro account per utilizzare office + software gestionale

uno di questi utenti, collegandosi in rds, sul suo account ha contratto il ransomware.
quindi 1 account è infettato mentre gli altri ancora no.

1 - come faccio a eliminare il ransomware dall'utente rds?
2 - basta che elimino l'utente e lo ricreo?

grazie a tutti!

l'utente che privilegi ha sulla macchina?

da semplice utente, non è amministratore

ho fatto tutto....per il momento il caso è isolato al singolo account rds del server 2012.... (naturalmente spento)

come risolvo?

Quando è arrivato in ufficio da me ho passato dban sul client infettato, controllato tutti gli altri client (trendmicro+malwarebytes+sophos), controllato i server e ripristinato i backup.

Se riesci a creare un'istanza isolata e scollegata della macchina infetta puoi controllare quale ransomware hai e verificare se esiste un tool di decrypt per al versione che ti ha colpito.

https://www.nomoreransom.org/crypto-sheriff.php

Se vuoi c'è il manuale della knowbe4 con una guida alla risoluzione:cerca ransomware hostage rescue manual.

Bho.

per i dati, non mi preoccupo... non ha avuto tempo di fare nulla il trojan... (solo i file di windows (immagini di sfondo e poche altre cose)...

il ransomware preso è il CERBER RANSOMWARE 4.0.2

ho controllato con malwarebytes il server e con kaspersky small office security e il server non ha nulla (a parte l'utente in questione)

oggi provo a far ripartire il server disabilitando l'utente

Ciao :D
Craccare la criptazione di questo ransom trojan è una cosa più da fantascienza che un obiettivo realisticamente ottenibile da un utente medio. Ecco perché la risoluzione problemi nei casi di questo tipo prevede due approcci: uno è quello di pagare il riscatto, che per molte vittime non è rappresenta un’opzione; l’altro è quello di applicare strumenti che sfruttano le possibili debolezze del ransomware. http://bravoteam.it/guide/thor

P.S. E ' delle ultime notizie sulla trasformazione Locky in Thor.
"L’edizione di ieri dello Locky ransomware che aggiungeva il suffissso .shit ai file non è durata. La notizia inaspettata arrivata letteralmente poche ore dopo è l’ingresso di un nuovo erede al maligno trono appena scoperto. Il successore concatena l’estensione .thor e rinomina i file con una quantità stupida di numeri e caratteri." :cry:

E pensare che a me i ransomware non fanno la minima paura, ma proprio niente.
Però non mi intendo molto di queste cose, eh?
Immaginiamo cosa potrebbe fare un vero esperto...

Usa l'autenticazione multipla per garantire che gli hacker non possano violare la tua posta!!!
http://www.telcoprofessionals.com/telecomblogs/128/strong-authentication-as-part-of-a-gdpr-compliance-strategy