Перейти к содержанию

Рекомендуемые сообщения

Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.

При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?

 

 

 

 

файлы.rarAddition.txtFRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Process Hacker сам установили?

Quote

2023-11-15 09:23 - 2023-11-15 09:23 - 000000000 ____D C:\Users\Support\AppData\Roaming\Process Hacker 2

 

Quote

Вчера подключался некий "удалённый специалист" через anydesk

Подключение служебное, или несанкционированное? Какова была цель подключения?

 

Судя по записке о выкупе и зашифрованным файлам это может быть Lockbit v3 Black

Если уже выполнили проверку антивирусом, добавьте, пожалуйста, лог сканирования.

Файл лога, если большой, можно загрузить на облачный диск и добавить ссылку на скачивание здесь.

+

этот файл заархивируйте с паролем infected, выложите на облачный диск, и дайте ссылку в ЛС

2023-11-14 18:01 - 2023-10-16 15:45 - 000148992 _____ C:\Users\Support\Desktop\LB3.exe

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Только что, safety сказал:

 

Нет. Это из учётки Support. Учётка, видимо, была создана ещё в августе, скорее всего другим удалённым специалистом. Ну да об этом будет отдельный разговор с бухгалтерией, если RDP закрыт то нечего его трогать.

Подключение было служебное, из Астрал'а. С ними уже связывался, компы они у себя проверили, вроде чисто.

Лог почти пустой, учитывая отсутствие экспорта прикрепляю скриншот.

KVRT.PNG

Ссылка на комментарий
Поделиться на другие сайты

Этот файл пока не удаляйте, он безопасен (в том смысле что неактивен), не в автозапуске.

2023-11-14 18:01 - 2023-10-16 15:45 - 000148992 _____ C:\Users\Support\Desktop\LB3.exe

этот файл заархивируйте с паролем infected, выложите на облачный диск, и дайте ссылку в ЛС

Как видим он размещен на рабочем столе под учетной записью Support.

+

проверьте ЛС.

+

проверьте по журналу антивируса, были ли отключения антивируса (или сбои в работе) в это время, на момент шифрования.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

файл детектируется на VT, это Lockbit v3 Black

https://www.virustotal.com/gui/file/eb21fc00708d4ffda454bd74155a98657e9eddccaabb5872d41af2dc46136dca/detection

конфигурация извлекается

ransom ext: ".HWyVqM2Qi"
ransom note name: "HWyVqM2Qi.README.txt"

 

 

 

@yaregg,

 

всю информацию для размышления оставил вам в ЛС, если будут какие то вопросы еще, напишите.

К сожалению, по самому главному, по расшифровке не можем вам помочь. С вашей стороны, обновите систему, установите критические патчи, как минимум, смените пароли доступа к учетным записям с правами Администратора, настройте доступ по RDP только с белых адресов, и только для тех пользователей, кому нужен доступ по RDP из внешней сети. + Бэкапы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • hobbit86
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • LamerMan
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • ksp_user
      От ksp_user
      Two months ago, suddenly, my Windows 11 PC refused me login. I tried several methods and everything failed and lead to fully format the PC. 
       
      Usually, I keep a copy of my notes in Google Drive so I did not worry much. 
       
      But I have noticed that my Google Drive also infected by a ransomware almost all the files there, renamed them to <filename>.<file extention>.id[bMtMPqp].stop and encrypted. 
       
      Since I couldn't log in to my PC , most probably ransomware encrypted the system files, I did not see any ransom notes or anything.
       
      Is it possible to identify the ransomware and decrypt the files in the Google Drive?
       
      Thanks.  
    • Paulo César
      От Paulo César
      Boa tarde...
       
      Estou passando por essa praga que é o ransomware, preciso de ajuda caso alguém o possa fazer. 
      Passei o arquivo pelo site id-ransomware.malwarehunterteam.com e a mensagem que o STOP (Djavu). Alguém conhece?... Tem uma ferramenta para indicar?
    • Bohdan_Feo
      От Bohdan_Feo
      I have a ransomware on my computer, I understand, it renamed all my data, and I don't know what to do with it. This is the current format of all files: 3R9qG8i3Z
×
×
  • Создать...