ransomware ha infettato server RDS

Art83 · 23-10-2016, 22:04

salve a tutti ragazzi....

nella mia azienda di famiglia ho un armadio rack composto da:

2 server ibm x3550 in cluster con vmware esxi

2 synology rs814+ in SHA come target iscsi delle macchine virtuali dei server

virtual machine 1 - windows 2011 sbs (controller di dominio + exchange per posta)

virtual machine 2 - windows 2012 standard (server rds)

diversi thin client che si collegano al 2012 con i loro account per utilizzare office + software gestionale

uno di questi utenti, collegandosi in rds, sul suo account ha contratto il ransomware.
quindi 1 account è infettato mentre gli altri ancora no.

1 - come faccio a eliminare il ransomware dall'utente rds?
2 - basta che elimino l'utente e lo ricreo?

grazie a tutti!

pac0 · 24-10-2016, 00:54

l'utente che privilegi ha sulla macchina?

Art83 · 24-10-2016, 07:07

da semplice utente, non è amministratore

Art83 · 24-10-2016, 07:51

ho fatto tutto....per il momento il caso è isolato al singolo account rds del server 2012.... (naturalmente spento)

come risolvo?

TRUTEN · 24-10-2016, 10:59

Quando è arrivato in ufficio da me ho passato dban sul client infettato, controllato tutti gli altri client (trendmicro+malwarebytes+sophos), controllato i server e ripristinato i backup.

Se riesci a creare un'istanza isolata e scollegata della macchina infetta puoi controllare quale ransomware hai e verificare se esiste un tool di decrypt per al versione che ti ha colpito.

https://www.nomoreransom.org/crypto-sheriff.php

Se vuoi c'è il manuale della knowbe4 con una guida alla risoluzione:cerca ransomware hostage rescue manual.

TRUTEN · 24-10-2016, 12:17

Bho.

Art83 · 25-10-2016, 08:13

per i dati, non mi preoccupo... non ha avuto tempo di fare nulla il trojan... (solo i file di windows (immagini di sfondo e poche altre cose)...

il ransomware preso è il CERBER RANSOMWARE 4.0.2

ho controllato con malwarebytes il server e con kaspersky small office security e il server non ha nulla (a parte l'utente in questione)

oggi provo a far ripartire il server disabilitando l'utente

capo oche · 13-11-2016, 08:37

Ciao

Craccare la criptazione di questo ransom trojan è una cosa più da fantascienza che un obiettivo realisticamente ottenibile da un utente medio. Ecco perché la risoluzione problemi nei casi di questo tipo prevede due approcci: uno è quello di pagare il riscatto, che per molte vittime non è rappresenta un’opzione; l’altro è quello di applicare strumenti che sfruttano le possibili debolezze del ransomware. http://bravoteam.it/guide/thor

P.S. E ' delle ultime notizie sulla trasformazione Locky in Thor.
"L’edizione di ieri dello Locky ransomware che aggiungeva il suffissso .shit ai file non è durata. La notizia inaspettata arrivata letteralmente poche ore dopo è l’ingresso di un nuovo erede al maligno trono appena scoperto. Il successore concatena l’estensione .thor e rinomina i file con una quantità stupida di numeri e caratteri."

zeMMeMMez · 13-11-2016, 10:33

E pensare che a me i ransomware non fanno la minima paura, ma proprio niente.
Però non mi intendo molto di queste cose, eh?
Immaginiamo cosa potrebbe fare un vero esperto...

MutuzeRK008 · 02-08-2018, 16:39

Usa l'autenticazione multipla per garantire che gli hacker non possano violare la tua posta!!!
http://www.telcoprofessionals.com/te...iance-strategy

23-10-2016, 22:04	#1
Art83 Senior Member Iscritto dal: Jun 2005 Messaggi: 3052	ransomware ha infettato server RDS salve a tutti ragazzi.... nella mia azienda di famiglia ho un armadio rack composto da: 2 server ibm x3550 in cluster con vmware esxi 2 synology rs814+ in SHA come target iscsi delle macchine virtuali dei server virtual machine 1 - windows 2011 sbs (controller di dominio + exchange per posta) virtual machine 2 - windows 2012 standard (server rds) diversi thin client che si collegano al 2012 con i loro account per utilizzare office + software gestionale uno di questi utenti, collegandosi in rds, sul suo account ha contratto il ransomware. quindi 1 account è infettato mentre gli altri ancora no. 1 - come faccio a eliminare il ransomware dall'utente rds? 2 - basta che elimino l'utente e lo ricreo? grazie a tutti! __________________ [TE+sped] Draytek Vigor 2830n plus [TE+sped] Belkin AV360 ingresso hdmi su imac (imac come monitor) [TE+sped] cerco hdd sata e ssd sata

24-10-2016, 07:07	#3
Art83 Senior Member Iscritto dal: Jun 2005 Messaggi: 3052	da semplice utente, non è amministratore __________________ [TE+sped] Draytek Vigor 2830n plus [TE+sped] Belkin AV360 ingresso hdmi su imac (imac come monitor) [TE+sped] cerco hdd sata e ssd sata

24-10-2016, 07:51	#4
Art83 Senior Member Iscritto dal: Jun 2005 Messaggi: 3052	ho fatto tutto....per il momento il caso è isolato al singolo account rds del server 2012.... (naturalmente spento) come risolvo? __________________ [TE+sped] Draytek Vigor 2830n plus [TE+sped] Belkin AV360 ingresso hdmi su imac (imac come monitor) [TE+sped] cerco hdd sata e ssd sata

24-10-2016, 10:59	#5
TRUTEN Senior Member Iscritto dal: Oct 2001 Città: Milano Messaggi: 11039	Quando è arrivato in ufficio da me ho passato dban sul client infettato, controllato tutti gli altri client (trendmicro+malwarebytes+sophos), controllato i server e ripristinato i backup. Se riesci a creare un'istanza isolata e scollegata della macchina infetta puoi controllare quale ransomware hai e verificare se esiste un tool di decrypt per al versione che ti ha colpito. https://www.nomoreransom.org/crypto-sheriff.php Se vuoi c'è il manuale della knowbe4 con una guida alla risoluzione:cerca ransomware hostage rescue manual. __________________ RYZEN 5800X / TAICHI X370 / NOCTUA D15 / 4*8GB DDR4 2933 / RX 7800XT / WD SN520 256GB/ SP 2TB UD90 / Modu87+ 600W / bequiet 500DX / Win 10 / G34WQC

24-10-2016, 12:17	#6
TRUTEN Senior Member Iscritto dal: Oct 2001 Città: Milano Messaggi: 11039	Bho. __________________ RYZEN 5800X / TAICHI X370 / NOCTUA D15 / 4*8GB DDR4 2933 / RX 7800XT / WD SN520 256GB/ SP 2TB UD90 / Modu87+ 600W / bequiet 500DX / Win 10 / G34WQC

24-10-2016, 00:54	#2
pac0 Senior Member Iscritto dal: Dec 2010 Messaggi: 601	l'utente che privilegi ha sulla macchina?

25-10-2016, 08:13	#7
Art83 Senior Member Iscritto dal: Jun 2005 Messaggi: 3052	per i dati, non mi preoccupo... non ha avuto tempo di fare nulla il trojan... (solo i file di windows (immagini di sfondo e poche altre cose)... il ransomware preso è il CERBER RANSOMWARE 4.0.2 ho controllato con malwarebytes il server e con kaspersky small office security e il server non ha nulla (a parte l'utente in questione) oggi provo a far ripartire il server disabilitando l'utente __________________ [TE+sped] Draytek Vigor 2830n plus [TE+sped] Belkin AV360 ingresso hdmi su imac (imac come monitor) [TE+sped] cerco hdd sata e ssd sata Ultima modifica di Art83 : 25-10-2016 alle 08:19.

13-11-2016, 08:37	#8
capo oche Junior Member Iscritto dal: Nov 2016 Città: Madrid Messaggi: 2	Ciao Craccare la criptazione di questo ransom trojan è una cosa più da fantascienza che un obiettivo realisticamente ottenibile da un utente medio. Ecco perché la risoluzione problemi nei casi di questo tipo prevede due approcci: uno è quello di pagare il riscatto, che per molte vittime non è rappresenta un’opzione; l’altro è quello di applicare strumenti che sfruttano le possibili debolezze del ransomware. http://bravoteam.it/guide/thor P.S. E ' delle ultime notizie sulla trasformazione Locky in Thor. "L’edizione di ieri dello Locky ransomware che aggiungeva il suffissso .shit ai file non è durata. La notizia inaspettata arrivata letteralmente poche ore dopo è l’ingresso di un nuovo erede al maligno trono appena scoperto. Il successore concatena l’estensione .thor e rinomina i file con una quantità stupida di numeri e caratteri."

13-11-2016, 10:33	#9
zeMMeMMez Bannato Iscritto dal: Aug 2016 Messaggi: 871	E pensare che a me i ransomware non fanno la minima paura, ma proprio niente. Però non mi intendo molto di queste cose, eh? Immaginiamo cosa potrebbe fare un vero esperto...

02-08-2018, 16:39	#10
MutuzeRK008 Junior Member Iscritto dal: Aug 2018 Messaggi: 2	Usa l'autenticazione multipla per garantire che gli hacker non possano violare la tua posta!!! http://www.telcoprofessionals.com/te...iance-strategy

Strumenti
Mostra una versione stampabile Invia questa pagina per email