Перейти к содержанию

Рекомендуемые сообщения

Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.

При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?

 

 

 

 

файлы.rarAddition.txtFRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Process Hacker сам установили?

Quote

2023-11-15 09:23 - 2023-11-15 09:23 - 000000000 ____D C:\Users\Support\AppData\Roaming\Process Hacker 2

 

Quote

Вчера подключался некий "удалённый специалист" через anydesk

Подключение служебное, или несанкционированное? Какова была цель подключения?

 

Судя по записке о выкупе и зашифрованным файлам это может быть Lockbit v3 Black

Если уже выполнили проверку антивирусом, добавьте, пожалуйста, лог сканирования.

Файл лога, если большой, можно загрузить на облачный диск и добавить ссылку на скачивание здесь.

+

этот файл заархивируйте с паролем infected, выложите на облачный диск, и дайте ссылку в ЛС

2023-11-14 18:01 - 2023-10-16 15:45 - 000148992 _____ C:\Users\Support\Desktop\LB3.exe

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Только что, safety сказал:

 

Нет. Это из учётки Support. Учётка, видимо, была создана ещё в августе, скорее всего другим удалённым специалистом. Ну да об этом будет отдельный разговор с бухгалтерией, если RDP закрыт то нечего его трогать.

Подключение было служебное, из Астрал'а. С ними уже связывался, компы они у себя проверили, вроде чисто.

Лог почти пустой, учитывая отсутствие экспорта прикрепляю скриншот.

KVRT.PNG

Ссылка на сообщение
Поделиться на другие сайты

Этот файл пока не удаляйте, он безопасен (в том смысле что неактивен), не в автозапуске.

2023-11-14 18:01 - 2023-10-16 15:45 - 000148992 _____ C:\Users\Support\Desktop\LB3.exe

этот файл заархивируйте с паролем infected, выложите на облачный диск, и дайте ссылку в ЛС

Как видим он размещен на рабочем столе под учетной записью Support.

+

проверьте ЛС.

+

проверьте по журналу антивируса, были ли отключения антивируса (или сбои в работе) в это время, на момент шифрования.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

файл детектируется на VT, это Lockbit v3 Black

https://www.virustotal.com/gui/file/eb21fc00708d4ffda454bd74155a98657e9eddccaabb5872d41af2dc46136dca/detection

конфигурация извлекается

ransom ext: ".HWyVqM2Qi"
ransom note name: "HWyVqM2Qi.README.txt"

 

 

 

@yaregg,

 

всю информацию для размышления оставил вам в ЛС, если будут какие то вопросы еще, напишите.

К сожалению, по самому главному, по расшифровке не можем вам помочь. С вашей стороны, обновите систему, установите критические патчи, как минимум, смените пароли доступа к учетным записям с правами Администратора, настройте доступ по RDP только с белых адресов, и только для тех пользователей, кому нужен доступ по RDP из внешней сети. + Бэкапы.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Дмитрий Романович
      От Дмитрий Романович
      Добрый день. Поймали вирус. Можно спасти базу? 
      прилагаю логи и сообщение о выкупе. 
      Архив.zip FRST.txt j8mzhi9uZ.README.txt Shortcut.txt
    • ivsh69
      От ivsh69
      Здравствуйте, зашифровали все рабочие файлы, доступ скорее всего получили череp rdp, Касперский Small Office Security 6 выключили, файл  с вымогательством прилагается.  Отправил им два зашифрованных файла (заархивировал их), они прислали расшифрованные два. тоже прилагаются. 
      xxzKHNO0a.README.txt Оборотно-сальдовая ведомость за Октябрь 2023 г..xlsx Счет на оплату № 27 от 17 января 2024 г.pdf dXCYb6w.zip
    • Smoke-19
      От Smoke-19
      Здравствуйте!
      Злоумышленники проникли в сеть и самостоятельно запустили шифровальщика на работающих ночью компьютерах и серверах.
      Доступными утилитами расшифровать не получается. 
      На одном из серверов нашел экземпляр самого шифровальщика (не только ехе-файл)
      Просим помочь на платной основе расшифровать наши данные, спасибо!
      Зашифрованные и оригинальные файлы.rar Логи анализа системы.rar
    • Дмитрий Романович
      От Дмитрий Романович
      Добрый день. Прошу помощи. Поймали вирус шифровальщик j8mzhi9uZ. 

      Система была переустановлена. 
      Архив.zip Addition.txt FRST.txt Search.txt Shortcut.txt
    • Ksana24
      От Ksana24
      Здравствуйте! 
      26.05.24 вирус шифровальщик -вымогатель  заблокировал все базы по !С  расширение j8mzhi9uZ.
      Помогите
      Addition.txt Crypted.rar FRST.txt
×
×
  • Создать...