kann Шифровальщик [kanndata@onionmail.org]

[Agatik]

Не могу понять, как произвести проверку политики файлов

Можете подсказать?

[safety]

  В 10.12.2023 в 13:04, Agatik сказал:

Не могу понять, как произвести проверку политики файлов

Можете подсказать?

Показать  

Чтобы узнать больше о реализации политик IPsec, откройте оснастку MMC локальной политики безопасности (secpol. msc), нажмите клавишу F1, чтобы отобразить справку, а затем выберите "Создание и использование политик IPsec" в оглавлении.

 

Вы можете через консоль secpol экспортировать все политики IP безопасности (там скорее всего одна активная), полученный файл выложите на облачный диск и дайте ссылку в ЛС.

Изменено 10 декабря, 2023 пользователем safety

[Agatik]

Зайдя в политику, при нажатии F1 открывается справка

В ней видно информацию на фото. Пункт " а затем выберите "Создание и использование политик IPsec" в оглавлении." не можем найти

Изменено 10 декабря, 2023 пользователем safety

[Agatik]

  В 10.12.2023 в 12:33, safety сказал:

https://www.virustotal.com/gui/file/2bdbdefbb71db72586bccdea78f44df12f3439878ad49b284b6c182e7f444df6?nocache=1

файл вредоносный.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Система не будет перезагружена.

 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE
czoo
;---------command-block---------
delall %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE
apply
QUIT

без перезагрузки системы.

ждем ответ специалистов по определению типа шифровальщика.

ZOO (он с паролем virus) не удаляйте, возможно будет нужен еще для ТП.

 

Так же проверьте политику:

Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{ec2483bf-f911-4e5e-9c58-c9c93f9e872c}

Админом создано или зловредом.

Показать  

Политика создана зловредом. 

[safety]

Удаляем политику скриптом:

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

(без перезагрузки системы)

 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 26
regt 25
QUIT

Напишите, наблюдается ли сейчас вирусная активность по срабатываниям антивируса?

[safety]

Есть предположение, что атаковали одновременно две группы, одна с шифрованием *.kann, вторая с шифрованием Mallox

https://www.sentinelone.com/blog/mallox-resurrected-ransomware-attacks-exploiting-ms-sql-continue-to-burden-enterprises/