Перейти к содержанию

Шифровальщик [kanndata@onionmail.org]


Рекомендуемые сообщения

1 hour ago, Agatik said:

Не могу понять, как произвести проверку политики файлов

Можете подсказать?

Чтобы узнать больше о реализации политик IPsec, откройте оснастку MMC локальной политики безопасности (secpol. msc), нажмите клавишу F1, чтобы отобразить справку, а затем выберите "Создание и использование политик IPsec" в оглавлении.

 

Вы можете через консоль secpol экспортировать все политики IP безопасности (там скорее всего одна активная), полученный файл выложите на облачный диск и дайте ссылку в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Зайдя в политику, при нажатии F1 открывается справка

В ней видно информацию на фото. Пункт " а затем выберите "Создание и использование политик IPsec" в оглавлении." не можем найти

Изображение WhatsApp 2023-12-10 в 17.51.53_a7d3d817.jpg

Изображение WhatsApp 2023-12-10 в 17.51.55_ad61ca70.jpg

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

16 часов назад, safety сказал:

https://www.virustotal.com/gui/file/2bdbdefbb71db72586bccdea78f44df12f3439878ad49b284b6c182e7f444df6?nocache=1

файл вредоносный.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Система не будет перезагружена.

 


;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE
czoo
;---------command-block---------
delall %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE
apply
QUIT

без перезагрузки системы.

ждем ответ специалистов по определению типа шифровальщика.

ZOO (он с паролем virus) не удаляйте, возможно будет нужен еще для ТП.

 

Так же проверьте политику:

Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{ec2483bf-f911-4e5e-9c58-c9c93f9e872c}

Админом создано или зловредом.

Политика создана зловредом. 

Ссылка на комментарий
Поделиться на другие сайты

Удаляем политику скриптом:

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

(без перезагрузки системы)

 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 26
regt 25
QUIT

Напишите, наблюдается ли сейчас вирусная активность по срабатываниям антивируса?

Ссылка на комментарий
Поделиться на другие сайты

Есть предположение, что атаковали одновременно две группы, одна с шифрованием *.kann, вторая с шифрованием Mallox

https://www.sentinelone.com/blog/mallox-resurrected-ransomware-attacks-exploiting-ms-sql-continue-to-burden-enterprises/

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SonG
      Автор SonG
      Вирус зашифровал на NAS сервере (WD) все файлы. Доступа к сбору статистики нет, т.к. это закрытая система WD
      Во вложении 2 архива.
      Есть ли дешифровщик? 
      original.zip
      Архив с зашифрованными данными 
      encrypted.zip
    • 08Sergey
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
    • vmax
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
×
×
  • Создать...