Перейти к содержанию

Рекомендуемые сообщения

Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.

При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?

 

 

 

 

файлы.rarAddition.txtFRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Process Hacker сам установили?

Quote

2023-11-15 09:23 - 2023-11-15 09:23 - 000000000 ____D C:\Users\Support\AppData\Roaming\Process Hacker 2

 

Quote

Вчера подключался некий "удалённый специалист" через anydesk

Подключение служебное, или несанкционированное? Какова была цель подключения?

 

Судя по записке о выкупе и зашифрованным файлам это может быть Lockbit v3 Black

Если уже выполнили проверку антивирусом, добавьте, пожалуйста, лог сканирования.

Файл лога, если большой, можно загрузить на облачный диск и добавить ссылку на скачивание здесь.

+

этот файл заархивируйте с паролем infected, выложите на облачный диск, и дайте ссылку в ЛС

2023-11-14 18:01 - 2023-10-16 15:45 - 000148992 _____ C:\Users\Support\Desktop\LB3.exe

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Только что, safety сказал:

 

Нет. Это из учётки Support. Учётка, видимо, была создана ещё в августе, скорее всего другим удалённым специалистом. Ну да об этом будет отдельный разговор с бухгалтерией, если RDP закрыт то нечего его трогать.

Подключение было служебное, из Астрал'а. С ними уже связывался, компы они у себя проверили, вроде чисто.

Лог почти пустой, учитывая отсутствие экспорта прикрепляю скриншот.

KVRT.PNG

Ссылка на комментарий
Поделиться на другие сайты

Этот файл пока не удаляйте, он безопасен (в том смысле что неактивен), не в автозапуске.

2023-11-14 18:01 - 2023-10-16 15:45 - 000148992 _____ C:\Users\Support\Desktop\LB3.exe

этот файл заархивируйте с паролем infected, выложите на облачный диск, и дайте ссылку в ЛС

Как видим он размещен на рабочем столе под учетной записью Support.

+

проверьте ЛС.

+

проверьте по журналу антивируса, были ли отключения антивируса (или сбои в работе) в это время, на момент шифрования.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

файл детектируется на VT, это Lockbit v3 Black

https://www.virustotal.com/gui/file/eb21fc00708d4ffda454bd74155a98657e9eddccaabb5872d41af2dc46136dca/detection

конфигурация извлекается

ransom ext: ".HWyVqM2Qi"
ransom note name: "HWyVqM2Qi.README.txt"

 

 

 

@yaregg,

 

всю информацию для размышления оставил вам в ЛС, если будут какие то вопросы еще, напишите.

К сожалению, по самому главному, по расшифровке не можем вам помочь. С вашей стороны, обновите систему, установите критические патчи, как минимум, смените пароли доступа к учетным записям с правами Администратора, настройте доступ по RDP только с белых адресов, и только для тех пользователей, кому нужен доступ по RDP из внешней сети. + Бэкапы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • specxpilot
    • KL FC Bot
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
      Низкое качество расшифровщиков
      Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.
      Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.
      Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
      В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Мы внимательно следим за изменениями тактик злоумышленников. Недавно эксперты Глобального центра исследования и анализа угроз Kaspersky GReAT обратили внимание, что после атак шифровальщика-вымогателя Fog преступники публикуют не только украденные данные жертв, но и IP-адреса пострадавших компьютеров. Ранее мы не замечали такой тактики у шифровальщиков. В данной статье рассказываем, почему это важно и какова цель этого приема.
      Кто такие Fog и чем они известны
      С тех пор как бизнес шифровальщиков-вымогателей стал превращаться в полноценную индустрию, у злоумышленников наблюдается четко оформленное разделение труда. Сейчас создатели шифровальщика и люди, стоящие непосредственно за атаками, чаще всего никак не связаны — одни разрабатывают платформу для шантажа, а другие просто покупают услуги по модели Ransomware-as-a-Service (RaaS).
      Fog Ransomware — одна из таких платформ, впервые замеченная в начале 2024 года. Их шифровальщики используются для атак на компьютеры под управлением Windows и Linux. Как это обычно происходит в последние годы, данные на атакованных машинах не только шифруются, но и закачиваются на серверы злоумышленников, а затем, если жертва отказывается платить, публикуются на Tor-сайте.
      Атаки с использованием Fog проводились против компаний, работающих в сферах образования, финансов и организации отдыха. Часто для проникновения в инфраструктуру жертвы преступники использовали ранее утекшие учетные данные для доступа через VPN.
       
      View the full article
    • hobbit86
      Автор hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
×
×
  • Создать...