proxima Xray шифровальщик

[Pico]

Была атака на "сервер" через RDP. Антивирус обнаружил вирус "Neshta.a" на рабочем столе одного из пользователей, файла больше нет увы.

Addition.txtПолучение информации... FRST.txtПолучение информации... Отчет Защита от сетевых атак.txtПолучение информации... Пострадавшее.rarПолучение информации...

[safety]

Судя по журналу защиты от сетевых атак брутфорсили с двух адресов:

194.26.135.36

194.26.135.48

но это было почти месяц назад. Судя по дате шифрование состоялось 07.12.2023

на первый взгляд - это PROXIMA, вариант Xray, варианты Proxima, по словам специалистов, злоумышленники могут менять под каждую атаку.

 

покажите, пожалуйста, по журналу угроз, что именно детектируется как Neshta, возможно, злоумышленники дополнительно заразили систему вирусом Neshta, чтобы заразить в свою очередь исполняемые файлы.

+

проверьте ЛС

Изменено 16 декабря, 2023 пользователем safety

[Pico]

Из отчета антивируса. Дополнительно прицепил скрина карантина.

Антивирус.txtПолучение информации...

Изменено 16 декабря, 2023 пользователем Pico

[Pico]

  В 16.12.2023 в 10:27, safety сказал:

Судя по журналу защиты от сетевых атак брутфорсили с двух адресов:

194.26.135.36

194.26.135.48

но это было почти месяц назад. Судя по дате шифрование состоялось 07.12.2023

Показать  

Брутфорсили с большего количества адресов. На всякий случай заблокировал эти адреса в брандмауэре.

[safety]

  В 16.12.2023 в 11:48, Pico сказал:

Брутфорсили с большего количества адресов. На всякий случай заблокировал эти адреса в брандмауэре.

Показать  

Надо разрешать правилами только белые подключения из списка, все остальное блокировать.

 

Расшифровки по PROXIMA на текущий момент нет. Сохраните важные зашифрованные документы и файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

  В 16.12.2023 в 11:22, Pico сказал:

Из отчета антивируса. Дополнительно прицепил скрина карантина.

Антивирус.txt 598 B · 0 downloads

Показать  

5-NS new.exe - это сканер для исследования устройств в сети. использовали для поиска других устройств в сети, куда еще можно было бы подключиться.

 

Возможно, этот файл использовался для шифрования

C:\Users\1\Desktop\NewFileTime_x64.exe

Neshta могли предварительно заразить, чтобы попытаться обмануть антивирусную защиту.

Если есть возможность, восстановите его из карантина, добавьте в архив с паролем infected, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

[Pico]

Отправил несколько файлов. Только забыл присвоить им имена "infected", надеюсь это не принципиально.

[safety]

Windows Servers Runtime.vexe - файл шифровальщика, возможно дополнительно заражен Neshta.

 

После очистки сэмпла от Neshta детект на VT изменился на Ransom/Filecoder.

Изменено 17 декабря, 2023 пользователем safety

[Pico]

В общем, как я понял, надо бы ставить новую систему, которая будет обновляться. Так как Windows 7 уже всё, и тщательнее проработать возможность удаленного подключения пользователей. Ну и ждать когда появится расшифровщик.

[safety]

теперь, когда вас шифрануло Crysis/Phobos/Proxima/Enmity и другие, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

+

  Quote

- Осуществляйте доступ к серверам по RDP только с использованием VPN.
- Внедрите многофакторную аутентификацию, если обеспечить доступ через VPN не представляется возможным.
- Внедрите блокировку учетных записей после определенного количества неудачных попыток входа в систему за короткий промежуток времени.
- Обеспечьте сложность пароля учетной записи, использующейся для доступа по RDP, регулярно осуществляйте его смену.
- Используйте NLA (аутентификацию на уровне сети) для RDP-соединений.
- Ограничьте список IP-адресов, с которых могут быть инициированы внешние RDP-соединения.
- Установите фильтры для защиты от спама и фишинга.
- Регулярно обновляйте средства антивирусной защиты, а также проводите аудит журналов их работы.
- Своевременно обновляйте операционные системы и прикладное программное обеспечение.

Показать  

 

Изменено 18 декабря, 2023 пользователем safety