Перейти к содержанию

Xray шифровальщик

Pico
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по журналу защиты от сетевых атак брутфорсили с двух адресов:

194.26.135.36

194.26.135.48

но это было почти месяц назад. Судя по дате шифрование состоялось 07.12.2023

на первый взгляд - это PROXIMA, вариант Xray, варианты Proxima, по словам специалистов, злоумышленники могут менять под каждую атаку.

 

покажите, пожалуйста, по журналу угроз, что именно детектируется как Neshta, возможно, злоумышленники дополнительно заразили систему вирусом Neshta, чтобы заразить в свою очередь исполняемые файлы.

+

проверьте ЛС

Изменено пользователем safety
Pico

Pico

Опубликовано
  • Автор
Опубликовано (изменено)

Из отчета антивируса. Дополнительно прицепил скрина карантина.

Антивирус.txt

Снимок.PNG

Изменено пользователем Pico
Pico

Pico

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Судя по журналу защиты от сетевых атак брутфорсили с двух адресов:

194.26.135.36

194.26.135.48

но это было почти месяц назад. Судя по дате шифрование состоялось 07.12.2023

Брутфорсили с большего количества адресов. На всякий случай заблокировал эти адреса в брандмауэре.

safety

safety

Опубликовано
Опубликовано
33 минуты назад, Pico сказал:

Брутфорсили с большего количества адресов. На всякий случай заблокировал эти адреса в брандмауэре.

Надо разрешать правилами только белые подключения из списка, все остальное блокировать.

 

Расшифровки по PROXIMA на текущий момент нет. Сохраните важные зашифрованные документы и файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

59 минут назад, Pico сказал:

Из отчета антивируса. Дополнительно прицепил скрина карантина.

Антивирус.txt 598 B · 0 downloads

Снимок.PNG

5-NS new.exe - это сканер для исследования устройств в сети. использовали для поиска других устройств в сети, куда еще можно было бы подключиться.

 

Возможно, этот файл использовался для шифрования

C:\Users\1\Desktop\NewFileTime_x64.exe

Neshta могли предварительно заразить, чтобы попытаться обмануть антивирусную защиту.

Если есть возможность, восстановите его из карантина, добавьте в архив с паролем infected, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Pico

Pico

Опубликовано
  • Автор
Опубликовано

Отправил несколько файлов. Только забыл присвоить им имена "infected", надеюсь это не принципиально.

safety

safety

Опубликовано
Опубликовано (изменено)

Windows Servers Runtime.vexe - файл шифровальщика, возможно дополнительно заражен Neshta.

 

После очистки сэмпла от Neshta детект на VT изменился на Ransom/Filecoder.

Изменено пользователем safety
Pico

Pico

Опубликовано
  • Автор
Опубликовано

В общем, как я понял, надо бы ставить новую систему, которая будет обновляться. Так как Windows 7 уже всё, и тщательнее проработать возможность удаленного подключения пользователей. Ну и ждать когда появится расшифровщик.

safety

safety

Опубликовано
Опубликовано (изменено)
теперь, когда вас шифрануло Crysis/Phobos/Proxima/Enmity и другие, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

+

Quote

- Осуществляйте доступ к серверам по RDP только с использованием VPN.
- Внедрите многофакторную аутентификацию, если обеспечить доступ через VPN не представляется возможным.
- Внедрите блокировку учетных записей после определенного количества неудачных попыток входа в систему за короткий промежуток времени.
- Обеспечьте сложность пароля учетной записи, использующейся для доступа по RDP, регулярно осуществляйте его смену.
- Используйте NLA (аутентификацию на уровне сети) для RDP-соединений.
- Ограничьте список IP-адресов, с которых могут быть инициированы внешние RDP-соединения.
- Установите фильтры для защиты от спама и фишинга.
- Регулярно обновляйте средства антивирусной защиты, а также проводите аудит журналов их работы.
- Своевременно обновляйте операционные системы и прикладное программное обеспечение.

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
    • bygi13
      Шифровальщик
      Автор bygi13
      Вирус шифровальщик
×
×
  • Создать...