PC Toledo

Esse vírus criptografa e renomeia os arquivos pra .efdc
Exemplo: jpa.exe, pra jpa.exe.efdc

No caso do meu aplicativo, de grave, só ferrou a configuração, e o cliente perdeu acesso ao MySQL.
Peguei do meu backup, e instalei a última versão do aplicativo, e tudo ok.
E apaguei os arquivos .efdc

Ferrou com backups, e outras coisas mais, mas nada que fizesse falta.
Curiosamente... o arquivo de senhas ficou intacto.
No MySQL, onde está o "grosso" da coisa, tudo bem.

Tem backup diário que vai pra internet, então no pior dos casos ainda teria como recuperar.

Já fica aí o aviso.

Já descobriram também o usuário responsável por abrir o anexo de email com vírus kkkkk

Olá!
Vai pegar novamente.
Desligue o TS. Use Teamview, anydesk...

Saudações,
Itamar M. Lins Jr.

No Windows 11, com o TPM 2.0.... esses vírus vão poder criptografar mais rápido kkkkkkkkkk

Olá!
TPM é tiro no pé da própria M$.
As pessoas irão migrar mais rápido para o Linux, questão de tempo.
Não aceitarão controle, isso prejudica a liberdade. Vamos aguardar mais alguns anos + 1 ou 2 para verificar se a sociedade vai aceitar controles desse tipo.

Saudações,
Itamar M. Lins Jr.

Pois é...

A rede estava lenta, o técnico reiniciou o servidor...

Parece que agora não tem mais servidor...

Olá!
Eu avisei !

Não é pelo email.
É pelo TS. protocolo SMB LIXO.

Saudações,
Itamar M. Lins Jr.

Olá!

rede estava lenta,

E foi para a rede toda que tem SMB com compartilhamento R/W ativado.
Pendrive, etc... XML tudo que windows der acesso ele criptografou.

Saudações,
Itamar M. Lins Jr.

Olá!

Parece que agora não tem mais servidor...

Aproveita e coloca um servidor de verdade. LINUX WINS !

Saudações,
Itamar M. Lins Jr.

Olá!

Ataques de ransomware explodem no Brasil com alta de 92% desde o início do ano

https://canaltech.com.br/seguranca/ataq ... no-187952/

Email não propaga ransomware. Ele usa SMB + SCRIPT VB para ter acesso "Administrador"
Geralmente SMB desatualizado e a porta do TS. 3389. Parece que descobriram como fazer isso usando CELULAR. Isso foi um estudo meu já tem uns 5 anos mais ou menos. Não conseguia entender como o vírus entrava na rede. Só não contaminava as maquinas que não estavam compartilhadas. SMB = OFF

Saudações,
Itamar M. Lins Jr.

Nem uma coisa nem outra.
O vírus entrou por um terminal.
Digamos que é estilo DOS: aonde o terminal tinha acesso, foi onde ele contaminou.
Pastas compartilhadas, etc.

Estou com o servidor aqui.
Liguei e funcionou normalmente.
Havia pastas liberadas conforme departamento/usuário.
O que estava visível para o usuário, sofreu o ataque.
Nada que outro modo de compartilhamento pudesse ajudar.

Só não sei se dá pra confiar no servidor, é Windows Server 2008 R2.
Vai ser formatado por precaução, e virar Windows 10.
É oficial, mas .... sei lá aonde está a licença, e sei lá se tem correção da falha no remoto.

Olá!

Liguei e funcionou normalmente.

Compartilha ai seu HD e liga em rede ai com o seu !
E observe ele zipar com senha tudo ai.
O virus ataca via 2 ou 3 programas que o primeiro usa a porta TS o segundo é baixado pelo primeiro que chama (baixa) o terceiro e faz uma bagunça e pede o resgate. Se não apareceu a tela de resgate é porque ainda não terminou o serviço.

Saudações,
Itamar M. Lins Jr.

Ola!
Se usar TS no win10 ou win server x, a probabilidade de pegar é bem alta.
Ainda pior com copia pirata ou por programas não oficiais para habilitar o TS.

Saudações,
Itamar M. Lins Jr.

Olá!

Desligue, use anydesk, etc.

Saudações,
Itaamr M. Lins Jr.

Aí você fica a noite toda configurando uma outra máquina para servidor.....

As 05 da manhã descobre que compartilharam o drive C: inteiro da máquina... que com certeza não foi pra backup...

Já fica imaginando como devem estar as outras máquinas...

Olá!
Estou explicando, mas parece que vc não escuta.
O RANSOWARE só age se compartilharem o HD ou pasta ou pendrive... para R/W.
Agora se pegar no servidor e só tiver ele ai assume direito de "administrador" e detona somente a maquina que tem o TS ativo.
É pelo TS(Terminal Service) que ele ataca.

Saudações,
Itamar M. Lins Jr.