|
|
|
|
Strumenti |
23-10-2016, 21:04 | #1 |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 3052
|
ransomware ha infettato server RDS
salve a tutti ragazzi....
nella mia azienda di famiglia ho un armadio rack composto da: 2 server ibm x3550 in cluster con vmware esxi 2 synology rs814+ in SHA come target iscsi delle macchine virtuali dei server virtual machine 1 - windows 2011 sbs (controller di dominio + exchange per posta) virtual machine 2 - windows 2012 standard (server rds) diversi thin client che si collegano al 2012 con i loro account per utilizzare office + software gestionale uno di questi utenti, collegandosi in rds, sul suo account ha contratto il ransomware. quindi 1 account è infettato mentre gli altri ancora no. 1 - come faccio a eliminare il ransomware dall'utente rds? 2 - basta che elimino l'utente e lo ricreo? grazie a tutti! |
23-10-2016, 23:54 | #2 |
Senior Member
Iscritto dal: Dec 2010
Messaggi: 601
|
l'utente che privilegi ha sulla macchina?
|
24-10-2016, 06:07 | #3 |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 3052
|
da semplice utente, non è amministratore
|
24-10-2016, 06:51 | #4 |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 3052
|
ho fatto tutto....per il momento il caso è isolato al singolo account rds del server 2012.... (naturalmente spento)
come risolvo? |
24-10-2016, 09:59 | #5 |
Senior Member
Iscritto dal: Oct 2001
Città: Milano
Messaggi: 11003
|
Quando è arrivato in ufficio da me ho passato dban sul client infettato, controllato tutti gli altri client (trendmicro+malwarebytes+sophos), controllato i server e ripristinato i backup.
Se riesci a creare un'istanza isolata e scollegata della macchina infetta puoi controllare quale ransomware hai e verificare se esiste un tool di decrypt per al versione che ti ha colpito. https://www.nomoreransom.org/crypto-sheriff.php Se vuoi c'è il manuale della knowbe4 con una guida alla risoluzione:cerca ransomware hostage rescue manual.
__________________
RYZEN 5800X / TAICHI X370 / NOCTUA D15 / 4*8GB DDR4 2933 / VEGA 64/ WD SN520 256GB/ WD BLUE 1TB / Enermax Modu87+ 600W / bequiet 500DX / Win 10 / G34WQC
|
24-10-2016, 11:17 | #6 |
Senior Member
Iscritto dal: Oct 2001
Città: Milano
Messaggi: 11003
|
Bho.
__________________
RYZEN 5800X / TAICHI X370 / NOCTUA D15 / 4*8GB DDR4 2933 / VEGA 64/ WD SN520 256GB/ WD BLUE 1TB / Enermax Modu87+ 600W / bequiet 500DX / Win 10 / G34WQC
|
25-10-2016, 07:13 | #7 |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 3052
|
per i dati, non mi preoccupo... non ha avuto tempo di fare nulla il trojan... (solo i file di windows (immagini di sfondo e poche altre cose)...
il ransomware preso è il CERBER RANSOMWARE 4.0.2 ho controllato con malwarebytes il server e con kaspersky small office security e il server non ha nulla (a parte l'utente in questione) oggi provo a far ripartire il server disabilitando l'utente
__________________
[TE+sped] Draytek Vigor 2830n plus [TE+sped] Belkin AV360 ingresso hdmi su imac (imac come monitor) [TE+sped] cerco hdd sata e ssd sata Ultima modifica di Art83 : 25-10-2016 alle 07:19. |
13-11-2016, 07:37 | #8 |
Junior Member
Iscritto dal: Nov 2016
Città: Madrid
Messaggi: 2
|
Ciao
Craccare la criptazione di questo ransom trojan è una cosa più da fantascienza che un obiettivo realisticamente ottenibile da un utente medio. Ecco perché la risoluzione problemi nei casi di questo tipo prevede due approcci: uno è quello di pagare il riscatto, che per molte vittime non è rappresenta un’opzione; l’altro è quello di applicare strumenti che sfruttano le possibili debolezze del ransomware. http://bravoteam.it/guide/thor P.S. E ' delle ultime notizie sulla trasformazione Locky in Thor. "L’edizione di ieri dello Locky ransomware che aggiungeva il suffissso .shit ai file non è durata. La notizia inaspettata arrivata letteralmente poche ore dopo è l’ingresso di un nuovo erede al maligno trono appena scoperto. Il successore concatena l’estensione .thor e rinomina i file con una quantità stupida di numeri e caratteri." |
13-11-2016, 09:33 | #9 |
Bannato
Iscritto dal: Aug 2016
Messaggi: 871
|
E pensare che a me i ransomware non fanno la minima paura, ma proprio niente.
Però non mi intendo molto di queste cose, eh? Immaginiamo cosa potrebbe fare un vero esperto... |
02-08-2018, 15:39 | #10 |
Junior Member
Iscritto dal: Aug 2018
Messaggi: 2
|
Usa l'autenticazione multipla per garantire che gli hacker non possano violare la tua posta!!!
http://www.telcoprofessionals.com/te...iance-strategy |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 17:03.