hsharada Шифровальщик, меняющий расширение файлов на 54a8afd423597a

[Алексей_DML]

Добрый день. Столкнулся с шифровальщиком, который зашифровал множество важных файлов и изменил их расширение на 54a8afd423597a. Операционная система была Windows server 2019.  Farbar Recovery Scan Tool применить нет возможности, так как заражённая машина является контролером домена, залогиниться невозможно. 2 зашифрованных файла и файл с требованиями злоумышленников прилагаю. Буду благодарен за любую помощь. Заранее спасибо.

Файлы.rar

[safety]

Возможно это HsHarada но это неточное определение. Желательно попытаться получить доступ к устройству и найти сэмпл шифровальшика. Это второй случай за последние два дня здесь, пока информации недостаточно для определения типа.

[Алексей_DML]

• Пока что файл шифровальщика не был обнаружен. Дело в том, что я не могу залогиниться на пораженной машине. Она была контролером домена. Каким образом вирус попал на эту машину так же неизвестно. Спасибо за советы, попробую присоединить диск от этого компа к другому и поискать нужный файл. 

[safety]

Проверьте подозрительную активность в локальной сети, возможно было проникновение на одном из устройств. Как правило, злоумышленники пытаются получить доступ к DC чтобы нанести максимальный ущерб.

11 minutes ago, Алексей_DML said:

Спасибо за советы, попробую присоединить диск от этого компа к другому и поискать нужный файл. 

если подключите системный диск с DC чистому устройству, можно сделать образ автозапуска в uvS с выбором каталога Win на присоединенном диске.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы (выбираем каталог Windows на присоединенном диске) - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 11 февраля, 2024 пользователем safety

[Алексей_DML]

Вот вывод uvS

BACKUP1_2024-02-11_14-38-25_v4.15.1.7z

[safety]

Интересно,что за файл:

F:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\INK\MIP.EXE

[Алексей_DML]

Этот файл имеет подпись Майкрософт. Он есть на нескольких наших компах, как зараженных, так и нет. Дата его появления разная и всегда сильно в прошлом. Не думаю, что это вирус. Антивирус не обнаруживает его

[safety]

Возможно, что чист.  Других подозрительных файлов не обнаружил судя по образу. Но шифровальщик мог быть запущен вручную, без включения в автозапуск. Тут бы FRST помог отследить вновь созданные файлы на диске.

-------

 

 

Изменено 11 февраля, 2024 пользователем safety

[Алексей_DML]

Эта программа сканит только в рамках той системы, где запущена, а мы диск от пораженного компа к другому присоединили. Поэтому она ничего не находит, фалы то создавались под другой исстемой. Может есть ещё варианты?

[safety]

Да, FRST не умеет работать с неактивной системой.

 

А подключиться к DC вы не можете по причине шифрования файлов или модификации паролей?

Изменено 11 февраля, 2024 пользователем safety

[Алексей_DML]

Думаю да, ведь наши логины и пароли не подходят, просто не получается залогиниться. Может файлы AD зашифрованы. Я сейчас уточню этот момент

Изменено 11 февраля, 2024 пользователем Алексей_DML

[safety]

Как вариант, можно попробовать на присоединенной системе по какому-нибудь акку сбросить пароль, есть такая функция в uVs, если он покажет список учетных записей.

 

Похоже, что это новая версия HsHarada, есть уже и на других форумах примеры с подобным шифрованием.

 

Есть уже пример файла

https://www.virustotal.com/gui/file/16551ad26d93352ff6e50ddcb7e3d3bb744a3cf0091ba278d06851e273fa7258

Locker.exe

 

[Алексей_DML]

Посмотрел по ссылке ключи и программу дешифратор. Всё запустил, но расшифровать к сожалению не получилось. Может уже ключ поменялся

[safety]

6 hours ago, Алексей_DML said:

Всё запустил, но расшифровать к сожалению не получилось

Я и не писал вам, что теми файлами по ссылке вы сможете расшифровать ваши файлы.Написал лишь с целью, что тип шифрования определен - новая версия HsHarada. Дешифратор там указан для определенного случая и ключа. Т.е. он может работать. только при наличие приватного ключа (которого нет в вашем случае).

Изменено 11 февраля, 2024 пользователем safety

[Алексей_DML]

Да, я понял. Большое спасибо вам за помощь. Будем думать дальше