Перейти к содержанию

Рекомендуемые сообщения

Была атака на "сервер" через RDP. Антивирус обнаружил вирус "Neshta.a" на рабочем столе одного из пользователей, файла больше нет увы.

Addition.txt FRST.txt Отчет Защита от сетевых атак.txt Пострадавшее.rar

Ссылка на комментарий
Поделиться на другие сайты

Судя по журналу защиты от сетевых атак брутфорсили с двух адресов:

194.26.135.36

194.26.135.48

но это было почти месяц назад. Судя по дате шифрование состоялось 07.12.2023

на первый взгляд - это PROXIMA, вариант Xray, варианты Proxima, по словам специалистов, злоумышленники могут менять под каждую атаку.

 

покажите, пожалуйста, по журналу угроз, что именно детектируется как Neshta, возможно, злоумышленники дополнительно заразили систему вирусом Neshta, чтобы заразить в свою очередь исполняемые файлы.

+

проверьте ЛС

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

Судя по журналу защиты от сетевых атак брутфорсили с двух адресов:

194.26.135.36

194.26.135.48

но это было почти месяц назад. Судя по дате шифрование состоялось 07.12.2023

Брутфорсили с большего количества адресов. На всякий случай заблокировал эти адреса в брандмауэре.

Ссылка на комментарий
Поделиться на другие сайты

33 минуты назад, Pico сказал:

Брутфорсили с большего количества адресов. На всякий случай заблокировал эти адреса в брандмауэре.

Надо разрешать правилами только белые подключения из списка, все остальное блокировать.

 

Расшифровки по PROXIMA на текущий момент нет. Сохраните важные зашифрованные документы и файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

59 минут назад, Pico сказал:

Из отчета антивируса. Дополнительно прицепил скрина карантина.

Антивирус.txt 598 B · 0 downloads

Снимок.PNG

5-NS new.exe - это сканер для исследования устройств в сети. использовали для поиска других устройств в сети, куда еще можно было бы подключиться.

 

Возможно, этот файл использовался для шифрования

C:\Users\1\Desktop\NewFileTime_x64.exe

Neshta могли предварительно заразить, чтобы попытаться обмануть антивирусную защиту.

Если есть возможность, восстановите его из карантина, добавьте в архив с паролем infected, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Windows Servers Runtime.vexe - файл шифровальщика, возможно дополнительно заражен Neshta.

 

После очистки сэмпла от Neshta детект на VT изменился на Ransom/Filecoder.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

В общем, как я понял, надо бы ставить новую систему, которая будет обновляться. Так как Windows 7 уже всё, и тщательнее проработать возможность удаленного подключения пользователей. Ну и ждать когда появится расшифровщик.

Ссылка на комментарий
Поделиться на другие сайты

теперь, когда вас шифрануло Crysis/Phobos/Proxima/Enmity и другие, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

+

Quote

- Осуществляйте доступ к серверам по RDP только с использованием VPN.
- Внедрите многофакторную аутентификацию, если обеспечить доступ через VPN не представляется возможным.
- Внедрите блокировку учетных записей после определенного количества неудачных попыток входа в систему за короткий промежуток времени.
- Обеспечьте сложность пароля учетной записи, использующейся для доступа по RDP, регулярно осуществляйте его смену.
- Используйте NLA (аутентификацию на уровне сети) для RDP-соединений.
- Ограничьте список IP-адресов, с которых могут быть инициированы внешние RDP-соединения.
- Установите фильтры для защиты от спама и фишинга.
- Регулярно обновляйте средства антивирусной защиты, а также проводите аудит журналов их работы.
- Своевременно обновляйте операционные системы и прикладное программное обеспечение.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...