Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 sötét folt)

[Kiss Zsolt]

Tiszta, meg jó vírusirtós géppel szerintem kicsi a kockázat, majdnem nulla. 

 

Azt sem tudom sajnos mik az érintett gépek. Nem tudom honnan eredet. A szerver 
nyalta be RDP-n, vagy valaki mégis mailre kattintott.

 

Egyébként nem is nagyon ragaszkodom én a fizikai adattároláshoz, jobbnak látom 
nyomni sharepoint alá, ott két kattal visszaállítom a tárhelyet a korábbi 
állapotba.

Ha ki kellene kukáznom az egész AD-mat, jó eséllyel ez volna az utólsó szög a 
koporsóba, újra nem építeném, akkor menne a felhőbe mindenki azonnal. Ha meg 
tudnám úszni a telepítést mert sikerülne kitisztítanom, akkor maradhatna 
hibrid, aztán majd kiderül mit hoz a jövő.

 

Zsolt

 

 

From: techinfo-boun...@lista.sulinet.hu  On 
Behalf Of Tiba Csaba
Sent: Friday, April 9, 2021 11:17 PM
To: Techinfo 
Subject: Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 
sötét folt)

 

Készíts egy .img képet belőle biztosan, ez még később jól jöhet. Nem nézném meg 
windows alatt, mert lehetséges a további fertőzés. Én egy teljesen új 
telepítést javaslok minden egyes érintett gépen. Az adatok, ha nem volt korábbi 
mentés, akkor simán lehetnek majd kukák addig, amíg valaki fel nem teszi a 
kódtörést. Van erre valahol weboldal talán még a nod32-nek is.  Szerintem 
valósitsd meg most proxmox vagy más virtuális gép alatt amit akarsz és erre a 
normális alapra tedd vissza a cuccokat, akkor tudsz bármikor visszaállni egy 
állapotra.

 

Kiss Zsolt mailto:r...@hb.edu.hu> > ezt írta (időpont: 2021. 
ápr. 9., P 22:27):

Átírtam a tárgyat, de mivel az eredeti problémával kapcsolatos, csak azért
tettem, hátha a Clonezilla guruk is jobban felkapják a fejüket rá :)

> Sikerült benyelnünk egy kódolós szemétládát.

Ahol most tartok. Eddig gyakran ghosttal mentettem, de a szerveren ez
megbukott (be sem tudtam bootolni). Elővettem a clonezillát, amivel eddig
még keveset foglalkoztam, az efopos laptopnál kerültem vele kapcsolatba.

Szóval van pár kérdésem ezzel kapcsolatban.

1. A raid-es szerveremnél a Clonezilla felismeri a tömb mindkét lemezét. Ha
mindkettőt lementeném, kellene össz. 1,5 TB hely, ami nincs. Ha az egyiket
lementem, azzal ha később vissza akarnék tölteni, akkor ráküldhetem mindkét
diskre? Vagy van olyan spéci területe a diskeknek, ami megbolondítja a
tömböt? Esetleg az elsőre rátöltsem, a tömb szétesik, majd megkérdezi a
vezérlő melyikkből állítsa vissza a tükröt?

2. A clonezilla képet én Windows-al fel tudom mountolni? Létezik hozzá
program? Tehát tudok így fileokat kiszedni a most lementett anyagból

+1, ami nem clonezilla:
Vajon csinálhat még ez egy második kört? Azaz ha elkezdem piszkálni a gépet,
lehet, hogy újraaktivizálódik és még ami megmenekült, az is kódolódik?
Ill. szerintetek mit eresszek rá, amivel meg tudnám fogni, hogy az irmagját
is kiirtsam? Fizetni úgy sem akarunk, meg nem is tudnánk...

Zsolt

___
Techinfo mailing list
Techinfo@lista.sulinet.hu  
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 sötét folt)

[Tiba Csaba]

Készíts egy .img képet belőle biztosan, ez még később jól jöhet. Nem nézném
meg windows alatt, mert lehetséges a további fertőzés. Én egy teljesen új
telepítést javaslok minden egyes érintett gépen. Az adatok, ha nem volt
korábbi mentés, akkor simán lehetnek majd kukák addig, amíg valaki fel nem
teszi a kódtörést. Van erre valahol weboldal talán még a nod32-nek is.
Szerintem valósitsd meg most proxmox vagy más virtuális gép alatt amit
akarsz és erre a normális alapra tedd vissza a cuccokat, akkor tudsz
bármikor visszaállni egy állapotra.

Kiss Zsolt  ezt írta (időpont: 2021. ápr. 9., P 22:27):

> Átírtam a tárgyat, de mivel az eredeti problémával kapcsolatos, csak azért
> tettem, hátha a Clonezilla guruk is jobban felkapják a fejüket rá :)
>
> > Sikerült benyelnünk egy kódolós szemétládát.
>
> Ahol most tartok. Eddig gyakran ghosttal mentettem, de a szerveren ez
> megbukott (be sem tudtam bootolni). Elővettem a clonezillát, amivel eddig
> még keveset foglalkoztam, az efopos laptopnál kerültem vele kapcsolatba.
>
> Szóval van pár kérdésem ezzel kapcsolatban.
>
> 1. A raid-es szerveremnél a Clonezilla felismeri a tömb mindkét lemezét. Ha
> mindkettőt lementeném, kellene össz. 1,5 TB hely, ami nincs. Ha az egyiket
> lementem, azzal ha később vissza akarnék tölteni, akkor ráküldhetem mindkét
> diskre? Vagy van olyan spéci területe a diskeknek, ami megbolondítja a
> tömböt? Esetleg az elsőre rátöltsem, a tömb szétesik, majd megkérdezi a
> vezérlő melyikkből állítsa vissza a tükröt?
>
> 2. A clonezilla képet én Windows-al fel tudom mountolni? Létezik hozzá
> program? Tehát tudok így fileokat kiszedni a most lementett anyagból
>
> +1, ami nem clonezilla:
> Vajon csinálhat még ez egy második kört? Azaz ha elkezdem piszkálni a
> gépet,
> lehet, hogy újraaktivizálódik és még ami megmenekült, az is kódolódik?
> Ill. szerintetek mit eresszek rá, amivel meg tudnám fogni, hogy az irmagját
> is kiirtsam? Fizetni úgy sem akarunk, meg nem is tudnánk...
>
> Zsolt
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás:
> http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 sötét folt)

[Kiss Zsolt]

Átírtam a tárgyat, de mivel az eredeti problémával kapcsolatos, csak azért
tettem, hátha a Clonezilla guruk is jobban felkapják a fejüket rá :)

> Sikerült benyelnünk egy kódolós szemétládát.

Ahol most tartok. Eddig gyakran ghosttal mentettem, de a szerveren ez
megbukott (be sem tudtam bootolni). Elővettem a clonezillát, amivel eddig
még keveset foglalkoztam, az efopos laptopnál kerültem vele kapcsolatba.

Szóval van pár kérdésem ezzel kapcsolatban.

1. A raid-es szerveremnél a Clonezilla felismeri a tömb mindkét lemezét. Ha
mindkettőt lementeném, kellene össz. 1,5 TB hely, ami nincs. Ha az egyiket
lementem, azzal ha később vissza akarnék tölteni, akkor ráküldhetem mindkét
diskre? Vagy van olyan spéci területe a diskeknek, ami megbolondítja a
tömböt? Esetleg az elsőre rátöltsem, a tömb szétesik, majd megkérdezi a
vezérlő melyikkből állítsa vissza a tükröt?

2. A clonezilla képet én Windows-al fel tudom mountolni? Létezik hozzá
program? Tehát tudok így fileokat kiszedni a most lementett anyagból

+1, ami nem clonezilla:
Vajon csinálhat még ez egy második kört? Azaz ha elkezdem piszkálni a gépet,
lehet, hogy újraaktivizálódik és még ami megmenekült, az is kódolódik?
Ill. szerintetek mit eresszek rá, amivel meg tudnám fogni, hogy az irmagját
is kiirtsam? Fizetni úgy sem akarunk, meg nem is tudnánk...

Zsolt

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] kodolos "mocsok"

[Kiss Zsolt]

> 
> kódolós mocsok nagyon sokféle van sajnos, van ami e-mail csatolmányban
jön,
> van ami a windows távoli asztal-ban lévő sebezhetőséget használja ki és

Nekem fogott a vírusirtóm a közös levelezésben szerdán encryptes levelet
2-t. De a többieknél vagy kuka volt, vagy olvasatlanul csücsült ott.
RDP-t használom a szerver elérésére. De nem a 3389-es porton. Ami ezt
használja ki, felismeri, hogy másik porton közlekedem vajon? Fura egybeesés
lenne a levél, ha az RDP-vel jött volna be?


> Mi lett a kódolt fájlok neve? Abból megvan, hogy melyik változat és
okosabb
> leszel.

Most nem emlékszem, a kiterjesztést cserélte le.

> Lehet azért nem követel még pénzt mert még nem végzett, az is tipikus
> jelenség.
> 

És éjszaka akarja folytatni a "jótékony" cselekedetét? Azért az iskolatitkár
csak 3 kódolt fileja érdekes.
Most minden esetre hazahoztam, készül róla disk image, addig nem mertem
piszkálni, mert ha még lapul, nehogy nagyobb kárt tegyen. Volt ott novemberi
dátumú mentés, amihez nem fértem hozzá, abban bízom, hogyha majd adok jogot,
akkor abban azért lesz hasznos anyag.


Zsolt




___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] kodolos "mocsok"

[Alaksza Balázs]

Szia,

kódolós mocsok nagyon sokféle van sajnos, van ami e-mail csatolmányban 
jön, van ami a windows távoli asztal-ban lévő sebezhetőséget használja 
ki és többnyire elkezdenek mindent kódolni amihez hozzáférnek, de vannak 
olyan típusok is amik csak a kifejezetten "fájdalmas elveszteni" típusú 
fájlokat bántják pl office doksik, jpg képek ilyesmi.


Mi lett a kódolt fájlok neve? Abból megvan, hogy melyik változat és 
okosabb leszel.
Lehet azért nem követel még pénzt mert még nem végzett, az is tipikus 
jelenség.


2021. 04. 09. 14:45 keltezéssel, Kiss Zsolt írta:

Sziasztok!

Sikerült benyelnünk egy kódolós szemétládát. Valaki utána járt már ennek a
mechanizmusának? Ugyanis nem találjuk hol érkezhetett. Egyik gépen sem akar
pénzt követelni. Ráadásul a szerveren éjszaka "gyalogolt" végig. Valamelyik
gép bekapcsolva maradt, vagy a hálózaton keresztül elbújt a szerveren és
utána tevékenykedett? Az a fura, nem mindent ért el, de a legérdekesebb,
hogy az iskolatitkárunk saját mappájában elkapott 2-3 filet, a többi tömeg
érintetlen. Azok vajon miért maradtak ki  a szórásból? Végig ment a
NAS-unkon is.

Félre ne értsetek, ne akarunk fizetni, de legalább lenne meg a forrás, mert
így teljesen sötétben tapogatódzunk. Jött olyan e-mail ami gyanús, de ahol
be van állítva a levelező, ott vagy olvasatlan volt, vagy a kukába vágták
alapból. Nem tudom vajon az volt-e egyáltalán a forrás, vagy valaki más
magánlevelezéséből indult meg. Most következik a szerverről egy teljes
imagelés, addig nem is mertem ráengedni semmit.

Ráadásul én 1 hónapja vagyok itt, még nem látom át mi merre meddig. Felhőbe
akartam költöztetni az adminisztrációt, ahol két kattintás lenne korábbi
állapotba visszaállítani, de sajnos a vírus megelőzött. Így most előre kell
venni az adatok átnézését, hátha találok valahol valami nem őskövület
backupot.

Zsolt

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



--
Alaksza Balázs

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

[Techinfo] kodolos "mocsok"

[Kiss Zsolt]

Sziasztok!

Sikerült benyelnünk egy kódolós szemétládát. Valaki utána járt már ennek a
mechanizmusának? Ugyanis nem találjuk hol érkezhetett. Egyik gépen sem akar
pénzt követelni. Ráadásul a szerveren éjszaka "gyalogolt" végig. Valamelyik
gép bekapcsolva maradt, vagy a hálózaton keresztül elbújt a szerveren és
utána tevékenykedett? Az a fura, nem mindent ért el, de a legérdekesebb,
hogy az iskolatitkárunk saját mappájában elkapott 2-3 filet, a többi tömeg
érintetlen. Azok vajon miért maradtak ki  a szórásból? Végig ment a
NAS-unkon is.

Félre ne értsetek, ne akarunk fizetni, de legalább lenne meg a forrás, mert
így teljesen sötétben tapogatódzunk. Jött olyan e-mail ami gyanús, de ahol
be van állítva a levelező, ott vagy olvasatlan volt, vagy a kukába vágták
alapból. Nem tudom vajon az volt-e egyáltalán a forrás, vagy valaki más
magánlevelezéséből indult meg. Most következik a szerverről egy teljes
imagelés, addig nem is mertem ráengedni semmit.

Ráadásul én 1 hónapja vagyok itt, még nem látom át mi merre meddig. Felhőbe
akartam költöztetni az adminisztrációt, ahol két kattintás lenne korábbi
állapotba visszaállítani, de sajnos a vírus megelőzött. Így most előre kell
venni az adatok átnézését, hátha találok valahol valami nem őskövület
backupot.

Zsolt

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/