Перейти к содержанию

Diamond Ransomware

yaregg
 Поделиться

Рекомендуемые сообщения

yaregg

yaregg

Опубликовано
Опубликовано

Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.

При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?

 

 

 

 

файлы.rarAddition.txtFRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Process Hacker сам установили?

Quote

2023-11-15 09:23 - 2023-11-15 09:23 - 000000000 ____D C:\Users\Support\AppData\Roaming\Process Hacker 2

 

Quote

Вчера подключался некий "удалённый специалист" через anydesk

Подключение служебное, или несанкционированное? Какова была цель подключения?

 

Судя по записке о выкупе и зашифрованным файлам это может быть Lockbit v3 Black

Если уже выполнили проверку антивирусом, добавьте, пожалуйста, лог сканирования.

Файл лога, если большой, можно загрузить на облачный диск и добавить ссылку на скачивание здесь.

+

этот файл заархивируйте с паролем infected, выложите на облачный диск, и дайте ссылку в ЛС

2023-11-14 18:01 - 2023-10-16 15:45 - 000148992 _____ C:\Users\Support\Desktop\LB3.exe

 

Изменено пользователем safety
yaregg

yaregg

Опубликовано
  • Автор
Опубликовано
Только что, safety сказал:

 

Нет. Это из учётки Support. Учётка, видимо, была создана ещё в августе, скорее всего другим удалённым специалистом. Ну да об этом будет отдельный разговор с бухгалтерией, если RDP закрыт то нечего его трогать.

Подключение было служебное, из Астрал'а. С ними уже связывался, компы они у себя проверили, вроде чисто.

Лог почти пустой, учитывая отсутствие экспорта прикрепляю скриншот.

KVRT.PNG

safety

safety

Опубликовано
Опубликовано (изменено)

Этот файл пока не удаляйте, он безопасен (в том смысле что неактивен), не в автозапуске.

2023-11-14 18:01 - 2023-10-16 15:45 - 000148992 _____ C:\Users\Support\Desktop\LB3.exe

этот файл заархивируйте с паролем infected, выложите на облачный диск, и дайте ссылку в ЛС

Как видим он размещен на рабочем столе под учетной записью Support.

+

проверьте ЛС.

+

проверьте по журналу антивируса, были ли отключения антивируса (или сбои в работе) в это время, на момент шифрования.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

файл детектируется на VT, это Lockbit v3 Black

https://www.virustotal.com/gui/file/eb21fc00708d4ffda454bd74155a98657e9eddccaabb5872d41af2dc46136dca/detection

конфигурация извлекается

ransom ext: ".HWyVqM2Qi"
ransom note name: "HWyVqM2Qi.README.txt"

 

 

 

@yaregg,

 

всю информацию для размышления оставил вам в ЛС, если будут какие то вопросы еще, напишите.

К сожалению, по самому главному, по расшифровке не можем вам помочь. С вашей стороны, обновите систему, установите критические патчи, как минимум, смените пароли доступа к учетным записям с правами Администратора, настройте доступ по RDP только с белых адресов, и только для тех пользователей, кому нужен доступ по RDP из внешней сети. + Бэкапы.

Изменено пользователем safety
yaregg

yaregg

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь. К сожалению, вышеописанных файлов найти не удалось, в том числе и при помощи R-Studio

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • RomanNQ
      Добрый день. Словили шифровальщик с расширением .gxj5ip3z2
      Автор RomanNQ
      Прикладываю файл записки и зашифрованный файл. Прошу помочь с идентификацией шифровальщика и возможно с поиском дескриптора.   
      gxj5ip3z2.README.txt Система_контроля_передвижений_и_перемещений_docx_gxj5ip3z2.rar
    • Александр 1190
      Попал шифровальщик на сервер, зашифрованы файлы, просит выкуп CVFJIb2N.README.txt
      Автор Александр 1190
      Добрый день!
       
      16.02.2026
       
      При запуске сервера на рабочем столе отобразилось сообщение LockBit Black. All your important files are stolen and encrypted! You must find CVFJSIb2N.README.txt  и сам открылся этот файл в блокноте с содержанием:
      "Все ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки". 
      Для расшифровки файлов просят оплатить услуги по расшифровке. Для получения информации ссылаются на почтовый ящик onlinedecodeallfiles@gmail.com
       
      Какой порядок действий нужно предпринять в данном случае? Как дешифровать файлы? Можно ли использовать антивирус и решит ли это проблему?
      Можно ли связаться со специалистами касперского по телефону для помощи по данному вопросу и по какому контактному номеру?
       
      Спасибо!
    • Andrey1015
      Троян зашифровал файлы на компьютере
      Автор Andrey1015
      Здравствуйте. 
       
      Не понятно как, но на компютере в домене прилетел троян, судя по всему по эл.почте. Учетная запись без прав администратора. Зашиврофали все файлы на локальных дисках и некоторые файлы на сетевых дисках, куда был доступ у данной учетной записи. Файл трояна был удален, назывался как-то "sputnik_...". Во вложении архив с зашифрованными файлами и файлом .txt с требованиями.
       
      files.zip FRST.txt Addition.txt
    • Amirsvami
      Шифровальщик попал в организацию!
      Автор Amirsvami
      Добрый день! 
      Сегодня ночью подверглись атаке шифровальщика. Разрушил всё! Начиная с файлов (частично) заканчивая бекапами и базами данных, а так же виртуальные машины. Просьба написать, какие данные скинуть для анализа, возможно уже был похожий кейс. А, и ещё, в организации нашей установлен корпоративный Касперский.

    • Юрий_86
      Шифровальщик lockbit v3 black
      Автор Юрий_86
      Поймал шифровальщик. Во вложении архив с зашифрованным и исходным файлом, плюс письмо о выкупе.
      Антивирусом Cureit проверяли, ничего не нашли. Система полностью переустановлена. Никаких логов нет.
      Подскажите, есть ли способ расшифровать?
      Архив.zip
×
×
  • Создать...