Перейти к содержанию

Поймали шифровальщик. Расширение iX7XLnlvs

MagicSe
 Share Подписчики 0

Рекомендуемые сообщения

MagicSe

MagicSe 0

Опубликовано
  • Автор
Опубликовано (изменено)

Отчет и архив прикреплены.Addition.txt

FRST.txt iX7XLnIvs.README.txt

Образцы зашифрованных файлов

Зашифрованные файлы.zip

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 83

Опубликовано
Опубликовано (изменено)

Судя по логу FRST файлы шифровались с расширением

2024-04-21 11:27 - 2020-12-16 09:03 - 000611268 ____N C:\Users\dr\Desktop\Report.htm.sOQQswXxk

2024-04-21 11:27 - 2024-04-21 12:03 - 000000132 _____ C:\Users\sOQQswXxk.README.txt

 

Загрузите к вашим файлам эту записку о выкупе

sOQQswXxk.README.txt

 

откуда это расширение  и записка о выкупе? с другого устройства?

*.iX7XLnIvs

iX7XLnIvs.README.txt

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 83

Опубликовано
Опубликовано (изменено)

Да, после утечки билдера для Lockbit v3 Black полтора года назад активность злоумышленников с шифрованием заметно возросла.

Можете увидеть на нашем форуме, сколько происходит шифрований только с помощью Lockbit за это время,

А еще активны: Mimic, Phobos, LokiLocker, RCRU64, Crysis, PROXIMA, Enmity и другие.

 

Примите меры безопасности чтобы исключить новые атаки шифровальщиков в будущем.

  

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • AndreyBN
      Вирус с названием DARKSTAR. mNZqvBj0Q
      От AndreyBN
      Здравствуйте. Заразился компьютер примерно в выходные  (28.04.24) когда был подключен к удаленному рабочему столу. Хотелось восстановить файлы. Пароль на архив - virus
      virus.rar FRST.txt Addition.txt
    • ООО КИП
      Зашифровали данные на пк и серверах (возможно HEUR:Trojan-Ransom)
      От ООО КИП
      Добрый день.
      Зашифровали данные на пк и серверах (возможно HEUR:Trojan-Ransom)
       
      Сегодня (29.04.2024) были зашифрованы данные на рабочих станциях и серверах компании.
      В 28.04.2024 23:19:47 на сервере ДС была создана Групповая политика с применением ко "Всем", "Прошедшим проверку" и "СИСТЕМА" 
      в настройке ГП:  
      1. отключаются службы теневого копирования и Брандмауэр Windows
      2. в планировщике создаются три назначенные задачи копирования, и исполнения файла
      2.1 ds.exe 
      powershell.exe Copy-Item "\\o*сетевая папка домена*e\netlogon\ds.exe" -Destination "C:\ProgramData" 2.2 запуск 
      cmd.exe /c c:\programdata\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103 2.3 и запуск из сетевой папки 
      cmd.exe Аргументы /c \\o*сетевая папка домена*e\netlogon\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103 2.4 задачи немедленного исполнения по запуску скрипта PS и чистка логов 
      Немедленная задача (Windows 7 и выше) (имя: 1) powershell.exe Аргументы -ex bypass -f \\o*сетевая папка домена*e\netlogon\1.ps1 Немедленная задача (Windows 7 и выше) (имя: log) cmd.exe Аргументы /c for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"  
      после этого на зашифрованных машинах появился файл с содержимым ( весь файл приложу во вложениях)
       
       
      Утилиты Касперского определили как HEUR:Trojan-Ransom 
      ESET Определил как - Filecoder.BlackMatter.K 
       
      Просьба помочь в расшифровке файлов. может получится подобрать дешифратор
       
      Во вложении включил файлы зашифрованные и оригиналы файлов (уцелевшие) отдельным архивом
       
      Так же есть исполняемый файл  ds.exe (пока не прикладывал)
      decode.zip Addition.txt FRST.txt
    • quietstorm
      Файлы зашифрованы .j8mzhi9uZ
      От quietstorm
      Добрый день, аналогичная проблема. Тоже шифровальщик с таки же расширением .j8mzhi9uZ
      Диск был изъят и просмотрен на другой машине. 1c.cmd closeapps.bat LogDelete.bat Shadow.bat и еще подозрительные файлы были найдены в папке шаблоны документов office.  Могу предположить что заражение через открытие офисного файла.

      Ссылка на архив с вышеуказанными файлами, запиской, образцом, и подозрительными exe  файлами. Может поможет в борьбе, так как мне тоже требуется помощь.

      Пароль  virus
      Ссылка на диск так как вес 11мб
      --------
      ссылка удалена.
    • Андрей Ф
      зашифровались вчера файлы . расширение qe9ZSDxfq
      От Андрей Ф
      вчера зашифровались файлы. 
      расширение qe9ZSDxfq
      есть и README с вымогательством , найден и сам updater.exe и svchost (которые полагаю шифровальщик). при необходимости можно найти оригиналы некоторых файлов до шифрования ( на сервере)
      приложу отчет FRST , несколько зашифрованных файлов и текст от вымогателей. Файлы exe при необходимости вышлю
      FRST.txt Addition.txt зашированные.zip
    • s1lences
      шифровальщик GL13Col3W
      От s1lences
      Шифровальщик зашифровал файлы на компьютере и присвоил расширение .GL13Col3W
      Свежий krd вирусов не нашел. В интернете и на форуме, описания вирусов с таким расширением нет.
      Что нужно сделать для расшифровки ?
×
×
  • Создать...