n3ww4v3 Шифровальщик Анилорак

[wsndemon]

Злоумышленники  получили доступ к AD  и собственно  подсунули  шифровальщика
причем на несколько машин  входящих  в этот AD   просто зашифровали файлы а  Текст сообщения вымогателя  только  на контроллере AD

собственно   результаты FRST  текст в вымогателя  и в  архиве  три файла  зашифрованных данной пакостью  в virus.rar

 

Addition.txt Anilorak_Decryption.txt FRST.txt VIRUS.rar

[Sandor]

Здравствуйте!

 

Увы, расшифровки этого типа вымогателя нет.

Систему чистим или планируете переустановку?

[wsndemon]

давайте попробуем почистить 

 

и  возможно ли в ближайшем обозримом будущем появление дешифровки  данной пакости ? 

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\...\Policies\system: [legalnoticecaption]  
  HKLM\...\Policies\system: [legalnoticetext] ￐ﾟ￐ﾠ￐ﾘ￐ﾒ￐ﾕ￐ﾢ, ￐ﾜ￐ﾞ￐ﾙ ￐ﾔ￐ﾞ￐ﾠ￐ﾞ￐ﾓ￐ﾞ￐ﾙ ￐ﾤ￐ﾐ￐ﾝ￐ﾐ￐ﾢ! ￐ﾢ￐ﾒ￐ﾞ￐ﾘ ￐ﾤ￐ﾐ￐ﾙ￐ﾛ￐ﾫ ￐ﾗ￐ﾐ￐ﾨ￐ﾘ￐ﾤ￐ﾠ￐ﾞ￐ﾒ￐ﾐ￐ﾝ￐ﾫ!!!
  Task: {9EF232EF-A049-49F1-9743-DF1E7AE83BDA} - System32\Tasks\Erase Tmp => C:\Users\Администратор.WIN-DLTKKDFIVAV\Desktop\erase.bat  (Нет файла)
  2023-06-13 13:54 - 2023-06-14 00:33 - 000002180 _____ C:\Users\Администратор.WIN-DLTKKDFIVAV\Desktop\Anilorak_Decryption.txt
  2023-06-13 13:12 - 2023-06-14 00:33 - 000002180 _____ C:\Anilorak_Decryption.txt
  2023-06-13 13:12 - 2023-06-14 00:32 - 000002180 _____ C:\Users\Администратор.WIN-DLTKKDFIVAV\AppData\Local\Anilorak_Decryption.txt
  AlternateDataStreams: C:\Windows\system32\msln.exe:facb5613cdcbcdff2d68cecf28adc35a [340]
  HKU\S-1-5-21-980693298-1010973879-3089007739-500\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
  FirewallRules: [{F5D66FA5-6DA6-4778-B91C-131EFBC47046}] => (Allow) LPort=443
  FirewallRules: [{843D17AF-853C-4B06-8ADA-029459098836}] => (Allow) LPort=475
  FirewallRules: [{1823A507-39DE-4F99-A9AE-74D8F01DD316}] => (Allow) LPort=475
  FirewallRules: [{AAB145D3-B398-4E19-A847-D60A1AD6689C}] => (Allow) LPort=475
  FirewallRules: [{F64127B7-6C95-4AAE-BD6C-6CD14C782959}] => (Allow) LPort=475
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пароли администраторов меняйте.

Изменено 15 июня, 2023 пользователем Sandor

[wsndemon]

Fixlog.txt

[Sandor]

Подключение по RDP, если требуется, прячьте за VPN. Иначе опять сломают.

 

Читайте Рекомендации после удаления вредоносного ПО

[wsndemon]

получается  они  используют лазейки  через уязвимости РДП ? 

 

поможет ли  в таком случае  замена  дефолтного порта РДП  на Любой другой ? 

 

[Sandor]

Да, чаще всего.

[wsndemon]

к примеру

193.ххх.ххх.ххх:648хх

 

кстати но машина все равно не в адеквате 

 

кнопки выключения и перезагрузки отсутсвуют ((( 

[Sandor]

С "кнопками" посоветуйтесь в соседнем разделе. Ссылку на эту тему там укажите.

[wsndemon]

Выражаю Огромную благодарность за консультацию 

 

[mike 1]

17 часов назад, wsndemon сказал:

получается  они  используют лазейки  через уязвимости РДП ? 

Не только. https://forum.kasperskyclub.ru/topic/361980-vebinar-omerzitelnaja-vosmyorka-tehniki-taktiki-i-procedury-ttps-gruppirovok-shifrovalshhikov/

[Aleksey56]

15.06.2023 в 16:19, Sandor сказал:

Подключение по RDP, если требуется, прячьте за VPN. Иначе опять сломают.

 

Читайте Рекомендации после удаления вредоносного ПО

Уязвимость RDP смогут использовать даже если Антивирус Касперского стоит?

[Sandor]

@Aleksey56, в этом разделе действуют определенные правила, не нарушайте их. Вы не можете писать в чужих темах.