باج گیر Horse -fast.exe
عرض سلام خدمت دوستان
ما دوتا از ماشین های مجازیمون ویروس باج افزار گرفته، الان نمیدونیم چکار کنیم، اگر کسی توی این زمینه میتونه کمک کنه، ممنون میشم، هاستمون esxi 6 هستش ، ماشینامون ویندوز سرور 2012 r2 هستند همچنین فایل های encrypt شده با پسوند .horse هستش، و هنگام startup یک فایل fast.exe ممتد اجرا می شود.
با سپاس فراوان
5 پاسخ
ممنون مهندس جان ، امتحان میکنم خدمتتون اعلام میکنم. سپاسگزارم
مهندس جان پسورد ساده بوده ! نه پورت های ریموت به صورت دیفالت باز بوده!
جالب اینجاست زمانی که لاگ ها رو چک کردم ، یه bot حدود 50 تا firewall rule رو داخل esxi هم زمان عوض کرده بوده!!!
سلام محمد قاسمی هستم:
جواب شما :
برای رفع مشکل اجرا بعد از startup میتونید به این مسیر بروید و فایل باج افزار رو پاک کنید
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
و از ان جایی که باج افزار شما horse هستش میتونید فایل هارو با
تسلا دیکدر (TeslaDecoder) دیکریپت کنید .
لینک دانلود (TeslaDecoder)
https://cdn.mashreghnews.ir/old/files/fa/news/1394/3/11/1058873_329.zip
راهی نداره --- ملت ایران فکر می کنن این رمز گذاری ی رمزگذاری مثله نرم افزار هایی که فایل رو اینکریپت می کنن /// این ویروسا به فایل رحم نمیکنن حتی اگر پاکسازی شن ... انتی ویروس مگه نداشتین؟؟؟؟
سلام
اینکه چیکار بکنید رو نمیدونم
اما اینکه چرا اینطور شده رو میتونم حدس بزنم
به دلیل این هست که یوزر ادمینتون پسوردش خیلی ساده بوده و از پسوردای پابلیک بوده مثلا
Admin@123
or
Server@2020
یا پسورد های مشابه و دسترسی ریموت دسکتاپش باز بوده و کرک شده و کرکر باج افزار زده روش
