enmity Поймал шифровальщик

[soronorus 0]

Доброго дня

3 компа 1 сервер 1с файловые базы, linux файл шара, пользовательский компьютер.

Как вирус попал в систему пока загадка, так как есть подозрения что был человек, на рабочем столе обчного компьютера был файл удаленного рабочего стола 2 сервер

2 сервер тоже зашифрован таким же вирусом

сетевая шара тоже все зашифрованы(ubunt linux), причем там файлы шифровались потом оригинал удалялся и записывался уже зашифрованный файл.

в имени файлов есть Mailprinceondarkhorse34@gmail_com такая строчка

чрез r-studio был найден удаленный каталог в момент взлома, в котором лежит файлик RSAdecr.keys

 

 

RSAdecr.zip ergcWlJuaOBy7N2_Mailprinceondarkhorse34@gmail_comID_0UX938931L5Y25.rar

[safety 124]

Добавьте, пожалуйста, записку о выкупе + логи FRST с одного из зашифрованных устройств.

Изменено 27 апреля пользователем safety

[soronorus 0]

Файл, вымогателя

 логи FRST  седаю вечером. с линукса это как бы не ваиант

information.txt

[safety 124]

Возможно, файлы зашифрованы очередной модификацией Enmity.

 

Можно добавить логи FRST с обоих серверов. Шары были затронуты процессом с устройства, на котором был запущен шифровальщик. Уточните, пожалуйста, название удаленного каталога, где был найден RSAdecr.keys (скорее всего зашифрованный ключ, возможно будет необходим  при расшифровки файлов). Возможное название папки - keyforunlock.

 

проверьте так же наличие на зашифрованных устройствах файла с именем "nn.exe" -  вероятное тело шифровальщика.

+

проверьте ЛС.

Изменено 27 апреля пользователем safety

[soronorus 0]

keyforunlock.rarinformation.txtFRST.txtAddition.txt

 

Сделал, логи. 
нашел  nn.exe внитури этого эксешника есть текст письма вымогателя

на компьютере запущен ProcessHaker

 

Изменено 27 апреля пользователем safety
сэмпл шифровальщика на форум добавляем только в архиве с паролем virus или infected

[safety 124]

Судя по логу FRST шаблон зашифрованного файла отличается от файла, который вы добавили в первое сообщение:

Quote

C:\Users\Администратор\Desktop\xQfWlF1SwiXgPIC-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].cHnZ8Y

и это уже без сомнения является результатом шифрования Enmity.

С расшифровкой по Enmity не сможем вам помочь. Сохраните важные зашифрованные документы + папку с ключом на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
(C:\Program Files\Process Hacker 2\ProcessHacker.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\cmd.exe
IFEO\taskmgr.exe: [Debugger] "C:\Program Files\Process Hacker 2\ProcessHacker.exe"
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\information.txt [2024-04-23] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sXN6hecU51Q4Gj8-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].MbXeRr [2024-04-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\information.txt [2024-04-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\JProlyi24kZSYa9-Mail[princeondarkhorse34@gmail.com]ID-[R4QLI56Z8U8YNJ].lj501h [2024-04-23] () [Файл не подписан]
R1 KProcessHacker3; \??\C:\Program Files\Process Hacker 2\kprocesshacker.sys [X]
2024-04-23 03:59 - 2024-04-23 03:59 - 000000697 _____ C:\Windows\Tasks\information.txt
2024-04-23 03:45 - 2024-03-30 00:38 - 000871936 _____ C:\Users\Администратор\Desktop\nn.exe
2024-04-23 03:44 - 2024-04-23 03:59 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-04-23 03:44 - 2024-04-23 03:59 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-04-23 03:29 - 2024-04-23 03:59 - 000000000 ____D C:\Users\Администратор\Desktop\Netscanner
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

 

 

Изменено 28 апреля пользователем safety

[soronorus 0]

А вообще хоть кто то помочь сможет, или это принципиально не возможно из за сложности шифрования

[safety 124]

Enmity уже второй год шифрует, решения у вирлабов по расшифровке нет.

Расшифровка возможно только при наличие приватного ключа, с помощью которого можно было бы расшифровать RSAdecr.keys

---------

теперь, когда вас шифрануло Enmity, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 30 апреля пользователем safety

[soronorus 0]

интересно как это сделать, на windows 2008r2

[safety 124]

1 minute ago, soronorus said:

интересно как это сделать, на windows 2008r2

если имеете ввиду установку актуальных обновлений, то рассмотреть переход на более актуальные версии W, для которых еще выпускаются обновления.

[soronorus 0]

нет я имею ввиду двухфакторную аутентификацию, без радиуса.