criptomangizmo Diamond Ransomware

[yaregg]

Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.

При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?

 

 

 

 

файлы.rarAddition.txtFRST.txt

[safety]

Process Hacker сам установили?

Quote

2023-11-15 09:23 - 2023-11-15 09:23 - 000000000 ____D C:\Users\Support\AppData\Roaming\Process Hacker 2

 

Quote

Вчера подключался некий "удалённый специалист" через anydesk

Подключение служебное, или несанкционированное? Какова была цель подключения?

 

Судя по записке о выкупе и зашифрованным файлам это может быть Lockbit v3 Black

Если уже выполнили проверку антивирусом, добавьте, пожалуйста, лог сканирования.

Файл лога, если большой, можно загрузить на облачный диск и добавить ссылку на скачивание здесь.

+

этот файл заархивируйте с паролем infected, выложите на облачный диск, и дайте ссылку в ЛС

2023-11-14 18:01 - 2023-10-16 15:45 - 000148992 _____ C:\Users\Support\Desktop\LB3.exe

 

Изменено 15 ноября, 2023 пользователем safety

[yaregg]

Только что, safety сказал:

 

Нет. Это из учётки Support. Учётка, видимо, была создана ещё в августе, скорее всего другим удалённым специалистом. Ну да об этом будет отдельный разговор с бухгалтерией, если RDP закрыт то нечего его трогать.

Подключение было служебное, из Астрал'а. С ними уже связывался, компы они у себя проверили, вроде чисто.

Лог почти пустой, учитывая отсутствие экспорта прикрепляю скриншот.

[safety]

Этот файл пока не удаляйте, он безопасен (в том смысле что неактивен), не в автозапуске.

2023-11-14 18:01 - 2023-10-16 15:45 - 000148992 _____ C:\Users\Support\Desktop\LB3.exe

этот файл заархивируйте с паролем infected, выложите на облачный диск, и дайте ссылку в ЛС

Как видим он размещен на рабочем столе под учетной записью Support.

+

проверьте ЛС.

+

проверьте по журналу антивируса, были ли отключения антивируса (или сбои в работе) в это время, на момент шифрования.

Изменено 15 ноября, 2023 пользователем safety

[safety]

файл детектируется на VT, это Lockbit v3 Black

https://www.virustotal.com/gui/file/eb21fc00708d4ffda454bd74155a98657e9eddccaabb5872d41af2dc46136dca/detection

конфигурация извлекается

ransom ext: ".HWyVqM2Qi"
ransom note name: "HWyVqM2Qi.README.txt"

 

 

 

@yaregg,

 

всю информацию для размышления оставил вам в ЛС, если будут какие то вопросы еще, напишите.

К сожалению, по самому главному, по расшифровке не можем вам помочь. С вашей стороны, обновите систему, установите критические патчи, как минимум, смените пароли доступа к учетным записям с правами Администратора, настройте доступ по RDP только с белых адресов, и только для тех пользователей, кому нужен доступ по RDP из внешней сети. + Бэкапы.

Изменено 16 ноября, 2023 пользователем safety

[yaregg]

Спасибо за помощь. К сожалению, вышеописанных файлов найти не удалось, в том числе и при помощи R-Studio