Внимание! Опасность! Очередной взлом Windows по сети и шифровщик .GUST : Windows

Срочно переименуйте Администратора во что-то еще. В оптимизаторе я сегодня ночью всем своим клиентам это сделаю. Рискнул бы сделать вообще всем, но опасаюсь негатива тех, кто форум не читает.

Как это сделать - описано здесь: https://olegon.ru/showthread.php?t=29815

Обязательно сделайте образы системы и проверьте, что бекапы копируются на удаленный сервер с этого удаленного сервера, а ваш сервер не имеет прав на доступ к хранилищу.

Теперь история.

Утром сервер магазина полностью зашифрован. Все файлы с расширением .GUST, судя по ругани в инете - случай не первый. Расшифровщика нет. В каждой директории лежит how_to_back_files.html

Традиционно на мои рекомендации сделать образ системы и отложить бекапы все забили. Т.е. все подохло.

Мое краткое исследование показало, что пробили с первого подключения, т.е. не брутили. Ровно в час ночи, как и случаи до этого. Били из локальной сети, подключились сразу на Администратор. Сразу попытались поставить KPortScan3.exe

После входа рухнули и перестартовались все сервисы.

Windows Server 2008 R2 (64-бита) была со всеми обновлениями!

Если честно, пока подозреваю ручную работу. Но, еще раз подчеркиваю, уязвимость есть в винде с обновлениями. Админ говорит, что пароли на рабочих станциях не совпадают с серверными.

RDP порт наружу? пробили то как? сервак с виндой наружу торчал?

Эта сраная недоос пишет, что подключались с USER-PC, такая машина в локалке есть. Только теперь непонятно, с нее ли подключились или это кто-то из инета прикинулся такой машиной. Судя по записям, коннектились не на графику, т.е. не RDP, скорее всего, хоть он и был проброшен с другого порта... Наружу не торчал, IP на интерфейсах локальные.

GUST Была зараза, попала на тестовую виртуалку(предположительно через RDP) и пошла шифровать все открытое в сети...бекапы спасли полезности. Плюс в том что на файлообменнике(помойке) порядок навели )))
Теперь RDP открываю по запросу коллег, требуется порой для поработать из дома и для демонстраций софта клиентам

Давай еще раз:
1. РДП был проброшен на данный сервер? в любом виде и номеру порта?
2. Кроме РДП были проброшены какие либо другие порты? любые другие?

1. Да, по номеру порта из третьего десятка
2. Я полностью картины не вижу, поскольку сервак в локалке стоит, но с некоторой долей уверенности - никакие

еще раз, USER-PC в локалке есть.

1. вот она и проблемаа...

еще раз USER-PC вообще ни о чем не говорит...

низя rdp наружу... никак...

Там вся опасность, что олег без клиентов остался.
Кипишнул, на всякий случай.


Не советую связываться с олегом.

после года работы. у меня есть веские причины.

ОК...
давайте по порядку... RDP Олег прокинул?

С чего это ты взял? Я какие обязательства на себя брал, те и выполнил. У клиента ко мне претензий нет, тем более, что я совсем недавно ему напоминал и про образы, и про бекапы.
Мне за свою работу никогда стыдно не бывает. Если есть претензии - давай, заведи отдельную темку, обсудим твои веские причины.
Этот чел вообще не в теме...