Перейти к содержанию

Неопознанный нами шифровальщик


Рекомендуемые сообщения

Добрый день!

Сегодня обнаружили что в прошлую пятницу один из компьютеров подвергся атаке неопознанным ботом.

Заражение скорее всего произошло удаленно, через сессию VNC.

Комп отключили от сети.

все файлы шифруются и в добавок к существующему расширению добавляется bot

атрибуты файла не меняются за исключением времени доступа.

Архив файла вымогателей и два зараженных файла прилагаются

Лог работы команды Farbar Recovery Scan Tool прилагаются!

Заранее спасибо!

 

 

Addition.txt BOT.zip FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
19 часов назад, safety сказал:

Систему уже проверяли антивирусами? можете предоставить логи сканирования?

Добрый день!

Текстовый лог программы KVRT мы не нашли, прилагаю сархивированный лог в его собственном формате

И два скриншота отчетов о проверке!

 

PS: зеленый же антивирус не нашел ничего.

 

 

KVRT_Report2.thumb.PNG.c4d9ec3a8a81e226e1593a730e300196.PNGKVRT_Report.thumb.PNG.94b52b60e5be334838c1290abd6c0477.PNG

report_2023.12.18_15.03.48.klr.rar

Ссылка на сообщение
Поделиться на другие сайты

На Ransom/Filecoder детекты не похожи.

Возможно, шифрование было выполнено с помощью образца модифицированного после утечки кода Babuk

 

https://id-ransomware.malwarehunterteam.com/identify.php?case=30bead454c178161d300937a5ca765e6862a2e2f

Опознан как

  • ransomnote_filename: How To Restore Your Files.txt
  • sample_bytes: [0x428 - 0x448] 0x63686F756E6720646F6E67206C6F6F6B73206C696B6520686F7420646F672121

+ проверьте ЛС.

 

Расшифровки файлов по Babuk на текущий момент к сожалению, нет.

Сохраните важные зашифрованные документы и файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

 

Чтобы избежать новых атак шифровальщиков в будущем примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

+

Quote

- Осуществляйте доступ к серверам по RDP только с использованием VPN.
- Внедрите многофакторную аутентификацию, если обеспечить доступ через VPN не представляется возможным.
- Внедрите блокировку учетных записей после определенного количества неудачных попыток входа в систему за короткий промежуток времени.
- Обеспечьте сложность пароля учетной записи, использующейся для доступа по RDP, регулярно осуществляйте его смену.
- Используйте NLA (аутентификацию на уровне сети) для RDP-соединений.
- Ограничьте список IP-адресов, с которых могут быть инициированы внешние RDP-соединения.
- Установите фильтры для защиты от спама и фишинга.
- Регулярно обновляйте средства антивирусной защиты, а также проводите аудит журналов их работы.
- Своевременно обновляйте операционные системы и прикладное программное обеспечение.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • user2024
      От user2024
      Здравствуйте, поделитесь пожалуйста опытом - было заражение машин LockBit. Файлы резервных копий MS SQL Server были так же зашифрованы. Нами был получен дешифратор, но файлы размером 2 ТБ не расшифровались. Может у кого-то был опыт в расшифровке файлов такого объема? После работы дешифратора, если открыть файлы в hex редакторе то их структура не меняется (т.е. по какой-то причине дешифратор не обрабатывает файл). Может у кого-то был опыт с расшифровкой файлов такого объема?
    • Tivalee
      От Tivalee
      Здравствуйте!
      Ко мне недавно обратился клиент, у которого был сервер. Этот сервер считался как второстепенный, а поскольку клиент работает по франшизе, то центральные сервера находились в Москве в головной организации.
       
      На этом второстепенном сервере с флэшки запускался гипервизор VMware EXSi 6.7, и далее с жёсткого диска стартовали виртуальные машины, то бишь защитить гипервизор антивирусным решением не представлялось возможным.
       
      На выходных была атака на центральные сервера головной компании, и помимо них оказался зашифрован и сервер моего клиента, все файлы виртуальных машин оказались потеряны, резервных копий не осталось (благодаря фирме, которая непосредственно обслуживает компьютеры и сервер этого клиента). Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора. Во всех папках был файл с названием "как восстановить файлы" (на английском), но внутри него ничего не было, никакого текста, никаких требований.
      Сам файл вируса я предоставить не могу, могу лишь приложить файл "How To Restore Your Files.txt" без текста, и несколько файлов логов. Файлы дисков машин я приложить не могу, они "весят" более 100 гигов каждый.
       
      Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security
       
      Вот ССЫЛКА на архив с примерами зашифрованных файлов, пароль - virus
       
      Заранее благодарен!
       
       
    • fenixair
      От fenixair
      Произошло заражение. все файлы стали в расширении lomer
      Есть варианты решения?
    • this.is.dmitry
      От this.is.dmitry
      Здравствуйте
      Вскрыли через rdp и залили вирус, который зашифровал с расширением .fixed
      антивирус нашел ransom:win32/babuk.mak!mtb
      + появилась папка папка Intel с софтом и логами (прилагаю тоже)
      Пробовал дешифровщик babuk, результата нет
      Помогите, пожалуйста, вернуть файлы
       
       
      Текст
      ############## [ FIXED ransomware ] ##############
      * What happend?
      ----------------------------------------------
      Your computers and servers are encrypted, backups are deleted from your network and copied.
      We use strong encryption algorithms, so you cannot decrypt your data without us.
      But you can restore everything by purchasing a special program from us - a universal decoder.
      This program will restore your entire network. Follow our instructions below and you will recover all your data.
      If you continue to ignore this for a long time, we will start reporting the hack to mainstream media and posting
      your data to the dark web.

      * What guarantees?
      ----------------------------------------------
      We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.
      All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.
      We guarantee to decrypt one file for free. Go to the site and contact us.
      * How to contact us?
      ----------------------------------------------
      darkrevolution@tutanota.com
       
      virus.zip
    • zavorsk
      От zavorsk
      Добрый день.
      Подхватили шифровальщике kings.exe. 
      Он отключил антивирус Касперского и зашифровал файлы. Во вложении логи, собранные Farbar Recovery Scan Tool, и ранее подготовленный архив с зашифрованными файлами
      Шифровальщик_kings.zip
×
×
  • Создать...