Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик Babyk

Tivalee
 Поделиться

Рекомендуемые сообщения

Tivalee Новичок

Tivalee

Опубликовано
Опубликовано

Здравствуйте!
Ко мне недавно обратился клиент, у которого был сервер. Этот сервер считался как второстепенный, а поскольку клиент работает по франшизе, то центральные сервера находились в Москве в головной организации.

 

На этом второстепенном сервере с флэшки запускался гипервизор VMware EXSi 6.7, и далее с жёсткого диска стартовали виртуальные машины, то бишь защитить гипервизор антивирусным решением не представлялось возможным.

 

На выходных была атака на центральные сервера головной компании, и помимо них оказался зашифрован и сервер моего клиента, все файлы виртуальных машин оказались потеряны, резервных копий не осталось (благодаря фирме, которая непосредственно обслуживает компьютеры и сервер этого клиента). Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора. Во всех папках был файл с названием "как восстановить файлы" (на английском), но внутри него ничего не было, никакого текста, никаких требований.

Сам файл вируса я предоставить не могу, могу лишь приложить файл "How To Restore Your Files.txt" без текста, и несколько файлов логов. Файлы дисков машин я приложить не могу, они "весят" более 100 гигов каждый.

 

Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security

 

Вот ССЫЛКА на архив с примерами зашифрованных файлов, пароль - virus

 

Заранее благодарен!

 

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
  В 17.04.2024 в 19:02, Tivalee сказал:

Прошу оказать помощь в дешифровке файлов. У клиента имеется коммерческая лицензия Kaspersky Small Office Security

Показать  

При наличие лицензии Вы можете напрямую обратиться в службу лаборатории Касперского.

 

  Quote

Я даже не представляю, каким образом это получилось, если на сервере даже Windows не было, он работал чисто из-под гипервизора

Показать  

Киберпреступники начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации. И это не единственный тип шифровальщика, который выполняет шифрование виртуальных машин, работающих на платформе VMware ESXi.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Tivalee Новичок

Tivalee

Опубликовано
  • Автор
Опубликовано
  В 18.04.2024 в 03:30, safety сказал:

Киберпреступники начали использовать новый вариант программы-вымогателя Babuk под названием SEXi: этот зловред нацелен на серверы VMware ESXi. На начало апреля 2024 года известно как минимум о четырёх атаках, в рамках которых злоумышленники требуют огромный выкуп за восстановление доступа к зашифрованной информации. И это не единственный тип шифровальщика, который выполняет шифрование виртуальных машин, работающих на платформе VMware ESXi.

Показать  

А как вообще вирус смог проникнуть в гипервизор, да ещё и запуститься, чтобы отключить все виртуальные машины и всё зашифровать? Ведь известно, что пока какой-либо файл занят программой, его система зашифровать не даст. Такое ощущение, что кто-то ручками поработал

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
  В 18.04.2024 в 19:32, Tivalee сказал:

А как вообще вирус смог проникнуть в гипервизор, да ещё и запуститься, чтобы отключить все виртуальные машины и всё зашифровать?

Показать  

Вам лучше инициировать полноценное расследование данного киберинцидента с помощью IT-специалистов,  определить возможно ли восстановление зашифрованных виртуальных устройств, и предпринять на будущее меры безопасности чтобы исключить новые инциденты после восстановления работоспособности инфраструктуры.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • АндрейП
      Шифровальщик READ-ME-Nullhexxx
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
    • WL787878
      Шифровальщик
      Автор WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • kokc1979
      Шифровальщик ooo4ps bitlocker
      Автор kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      Автор Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...