none
Server 2012 R2. Как вирус заполучил права? RRS feed

  • Вопрос

  • Вчера на сервере терминалов был запущен шифровальщик и зашифровало все файлы. Нашел екзешник в профиле пользователя. Вопрос такой. Шифровальщик зашифровал все файлы, включая профили, у которых разрешение только у Администраторов, Системы и у самого пользователя. Включая и мой профиль. Зашифровало все. Пока не знаю, то ли к пользователю подобрали пароль то ли пользователь сам запустил браузер, закачал файл и запустил его. Меня больше интересует от куда права.. да же папка, у который был доступ только у меня зашифровалась. Так же в разрешениях Администраторы и Система. А права делал только на себя. В локальной группе Администраторов присутствуют только Администраторы домена, локальный Администратор, Агент акронис.  В администраторах домена только я. Политика пользователей настроена так, что при трех неверных попыток блокируется учетная запись. Пороли должны отвечать сложностью. 
    • Изменено ivldenis1 15 января 2018 г. 7:07
    15 января 2018 г. 7:06

Все ответы

  • Здравствуйте,

    Также если на Вашем сервере установленны не все исправления, особенно уязвимости smb, то возможно сервер был взломан использовав уязвимость smb. Уточните пожалуйста расширение зашифрованных файлов?

    Best Regards, Andrei ...

    MCP

    15 января 2018 г. 7:43
    Модератор
  • .JAVA

    Чуть позже подробнее отвечу. Восстановлением занимаюсь.

    • Изменено ivldenis1 15 января 2018 г. 7:55
    15 января 2018 г. 7:54
  • .JAVA

    Похоже на Dharma (.cezar), точнее можно будет сказать по самим зашифрованным файлам и файла требований вымогателей. Если подтвердиться, то скорее всего Вам необходимо будет почистить сервер от вредоносного ПО и обратится в антивирусные каомпании за помощью в случае, если у Вас имеется лицензия.

    Best Regards, Andrei ...

    MCP

    15 января 2018 г. 9:01
    Модератор