Hacknutí systému na vzdálené ploše

zodpovedna je firma...vam ostava uz len uprimna motlitba

Smazat a obnovit starší snapshot toho virtuálka. Do snapshotu by nemělo být možné se dostat ze systému, ale jen z administrativní konzole, takže by měl být nedotčený. Jen je otázka zda jste něco takového vytvářeli.

Dotázal jsem se. Bylo mi odpovězeno že se zálohy drží 24h a jí to zjistil po 48h ... Tudíž smůla..

A ta firma, u které ten cloud běží, nemá zálohy? Nestačí to u nich obnovit?

Dotázal jsem se. Bylo mi odpovězeno že se zálohy drží 24h a jí to zjistil po 48h ...Tudíž smůla..

myslim, ze tu riesia nieco podobne https://support.avg.com/answers

ámo hekni to a ser na to nic se nestane věř mi ser na to dem do toho uvidíš co s toho bude bráško heknem to celý a kompletně vyhodíme celý sistém kompletní akury heslo je buguj147S445asde457 DEM DO TOHO

ten disk jde vždy připojit do jiného stroj....https://www.nomoreransom.org/cs/decryption-tools.html

Takze ste tam najskor chytili ransomware, ktory zahesloval subory. Pokial neexistuje zaloha suborov, tak data su stratene, neodporucam posielat nejake emaily a peniaze nejakemu individuu. Pokial firma nedokaze obnovit data zo zalohy (toto je teda dost smutne a ta firma nie je moc ok), tak ich aspon poziadaj, nech ti ten VServer daju do cisteho stavu. Budes si tam vsak musiet nainstalovat a nastavit vsetky veci...Asi smola.

A za dalsie, nepovazovl by som toto za Hack, myslim si, ze niekto, kto sa tam pripaja cez RDP tam spustil nejaky trojan/malware/ransomware.Neviem o tom, ze by RDP v zapatchovanej verzii mal nejaky exploit, kde by sa tam dalo dostat bez znalosti Admin hesla. Alebo potom niekto uhadol heslo: admin/admin, root/root atp.

niekto uhadol heslo rozumej nejaky bot/sw program, ktory toto skusa na nahodnych IP adresach a nahodou sa trafil :)

Díky. Nemůžu tvrdit že to tak nemůže být. Nicméně v tomto "prostoru" se pracovalo pouze s jediným programem a to účetním. Heslo mělo 10 znaků včetně malých / velkých a čísel. Tudíž možná neskvělé ale dle mě alespoň ne *heslo1*.Budu souhlasit že to není O.K. když nemají zálohu na víc jak 24 hodin a taky že nehodlám poslat nikomu žádné peníze. Jen jsem doufal, že by se někdo do takových souborů dokázal hacknout zase zpět abychom se dostali byť k jedinému souboru se zálohou dat který by nám stačil. Klidně byhom za takovou práci i zaplatili ale peníze které požaduje nějaký Jack ze Zimbabwe opravdu platit nehodláme.

Teoreticky existuje decrypter. Treba zistit oficialny nazov tej skodnej a skusit vygooglit, ci niekto nebol schopny spravit decrypter. Obcas sa to stava.

Tam nejde o žádné hacknutí do souboru. Jejich obsah je prostě zašifrovaný, takže jeho obsah nezmizel a je normálně přístupný, akorát byl použit nějaký šifrovací algoritmus, který obsah podle zadaného hesla přeházel a pozměnil, takže není srozumitelný. Abys obnovil původní obsah, tak je třeba zjistit, jaká šifra byla použita a zejména zjistit heslo. Pokud si s tím ale tvůrce té havěti dal aspoň trochu práce, tak zvolil takovou šifru, která nemá žádnou známou chybu, díky které by se dalo zjistit použité heslo, tak je to bez jakékoliv šance. Zpočátku používali tvůrci slabé šifrování a některé bezpečnostní firmy (Kaspersky) to dokázali prolomit (pokud to nebyl dokonce jejich výtvor). Ovšem samozřejmě tvůrci nechtějí, aby se dal obsah obnovit bez zaplacení, takže používají čím dál lepší šifry a řekl bych, že pokud je to nějaký ransomware z poslední doby, tak je to bez šance.

V první řadě stáhni veškerá data, která můžeš ale předtím otestuj svůj systém, jestli není nakažen.Tyto vykukové používají stále stejné nástroje, takže je velká šance, že je rozkódujete. Sbírka nástrojů k dešifrování je zde:https://noransom.kaspersky.com/Pokud pomůže, tak si od nich kupte antivira a pošlete poděkování redakci Živě.

sorry ale tohle je jedním slovem amatérismus.Účetnictví na pronajatém virtuálu přes RDP - OK, ale kde máte jako zálohy ? To si to sami nezálohujete / nebo nemáte s tou firmou dojednáno ať Vám to zálohuje ona ? Oni jen pronajímají ten virtuální server nebo se Vám starají i o tu účetní aplikaci ??

Na tom je minimalne nekolik veci dost podivnych: * "nedari se mi spustit sit" - v situaci, kdy je tam pripojen pres RDP? * zminka o FTP - to je protokol, pres ktery se zadna citliva data neprenasi. Firma, ktera chce prenaset ucetni data pres FTP je prinejmensim podezrela.Zbyva jedina vec - vydupat si z firmy vsechny existujici zalohy a *aktualni* snapshot daneho stroje (kopie VM nebo binarni obraz disku) a sverit to do rukou nekomu, kdo aspon trochu rozumi podobnym problemum (tj. treba nejblizsi firmu pro zachranu dat z havarovanych disku). Existuje drobna sance, ze se cast dat najde v temp souborech, nevyuzitych sektorech disku apod. Ale to je prace pro odbornika a nebude levna.

dobry den, stal sa nam stejny problem cez vikend. mozeme sa nejako skontaktovat aby sme si vymenili pripadne informacie? uz sme to nahlasili aj na kriminalke kedze je v tahu cele uctovnictvo...

Hmm, na kriminálce. Tak to jsou ti praví na takové věci. A ještě k tomu nějaké účetnictví. Poněkud naivní představy. Ale jasně, udělali jste pro to, co jste mohli. Nic se nezjistí, to je jasné, ale dostanete potvrzení resp. usnesení o odložení věci podle § 159a/1 tr. řádu (aspoň v ČR, na Slovensku nevím), kterým pak můžete mávat na finančáku, že jste se stali obětí trestné činnosti a daně prostě platit nemusíte. To pak jóó.....

Počkej počkej, chceš mi říct, že nějaká cizí firma má přístup k VAŠIM datům uloženým u nich a vidí výpis třeba DIR? To nemáte nějak šifrované, atp? Vy si prostě od nich pronajímáte nějaký prostor a tam to nahráváte? A zálohy co máte zašifrované jsou na stejném místě?!? Co jste proboha za firmu a co za firmu pronajímáte? Vždyť to je parodie.... Co obnova z pásek? Vedou?Co se toho šifrování týče, bylo by vhodné zjistit, odkud se to začalo šířit. Tj. zda od vás, nebo od nich. Pokud od vás, nebylo by úplně od věci se zamyslet nad úrovní přístupů, oddělení a monitoring. Pokud od nich, asi bych se podíval po jiné firmě.

To jo, architektura celé té věci je skutečná parodie. Ale jak už zde mnohokrát zaznělo, nebylo to vůbec důležité, protože kdyby bylo, tak by to bylo patřičně zálohované. Ale vsadím se, že si dveře do firmy a služební auta zamykají....

Mno, tak to určitě nezamykají. Pokud to chápu dobře, je tam i účetnictví. A to je snad důležitější než nějaké auto. Pokud tedy o účetnictví nešlo, pak ani nevěřím že mají dveře, zámky a vůbec, firmu nikdo nehlídá.Kdy se můžu stavit s taškou? Stačí mi jen pár minut abych se napakoval...

Pokud k zabezpečení přistupují podobně jako k výběru firmy kam si uloží data z účetnictví, tak bych se nedivil že se to začalo šířit od nich.