Перейти к содержанию

Шифровальщик .OPIX

kda7889
 Share

Рекомендуемые сообщения

kda7889 Новичок

kda7889

Опубликовано
Опубликовано (изменено)

Привет.

16.05.2024 под конец рабочего дня мне сотрудник прислал скрин, что у него в сеансе RemoteApp (RDP) вместе с 1С появилось черное окно.

1-7766.thumb.jpg.47d9caf70efdd0ba1327f9aab7791e89.jpg

Я подключился к нашему серверу RemoteApp[10-7], запустил taskmgr и обнаружил большое количество процессов от несуществующих пользователей DWM-**.

2-dwm.thumb.jpg.af5518577788d640b4d763df6692187a.jpg

Скачал и запустил Kaspersky Virus Removal Tool на сервер [10-7], и сразу на сервер где лежат сами базы [10-2].

На сервере [10-2] ничего не обнаружено, на сервере [10-7] была обнаружена папка с файлами.

3-PeerProfit.thumb.jpg.d80d4bf29147a543471ae1b4b81908e9.jpg

Я запаковал папку 1Peer2Profit в архив, могу скинуть если будет нужно. Вот отчет vt.

Удалил все угрозы с помощью KVRT, очистив зараженные объекты, убедился что никаких лишних процессов от лже-пользователей нет, и затем запустил более глубокое сканирование на обоих машинах и отключился, т.к. время ожидания явно превышало несколько часов.

 

Через некоторое время мне прилетело уведомление на телефон, что виртуальная машина домена WinServ2012 которая расположена на сервере [10-7] недоступна, подключиться к нему я так-же не смог.

Отправил его в перезагрузку, проверил сервер [10-2], все было в порядке.

Спустя некоторое время смог получить доступ к серверу [10-7], через запасного пользователя, все основные админские были отключены. Файлы были зашифрованы расширением .OPIX

Пропала связь с сервером [10-2], подключившись к нему, также обнаружили что все файлы зашифрованы.

 

Подготовил логи анализа системы при помощи Farbar Recovery Scan Tool, так-же в архивах по 2 зашифрованных файла с каждого сервера и файл с контактами вредителей.

Внутри положил зашифрованные файлы, так и файлы в оригинальном виде, надеюсь это поможет.

Купил Касперский Office Security, поставил. Ничего не обнаружено.

Жду Вашей помощи.

 

p.s.

был резервный изолированный бэкап, но мы его только начали делать, там 1/3 от того что нужно для деятельности. не повторяйте наших ошибок, это очень больно.

 

OPIX_client_data.zip

Изменено пользователем kda7889
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

добавьте в архив с паролем virus данные файлы:

По 10-2:

2024-05-16 23:06 - 2024-05-16 23:48 - 000482816 _____ C:\Stub.exe

 

+ эту папку с файлами:

Quote

Я запаковал папку 1Peer2Profit в архив, могу скинуть если будет нужно. Вот отчет vt.

 

Архив загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 


 

Изменено пользователем safety
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
  • safety changed the title to Шифровальщик .OPIX
kda7889 Новичок

kda7889

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо за отлик.

После нескольких часов работы, Касперский Office Security нашел много нового и интересного.

Все опубликовано. Сслыку отправил в личку.

1245755563_.PNG.d0b5eec43ab953328865074642906396.PNG

 

Посмотрев логи, понятно что злоумышленники проникли по RDP получив с домашнего утройства пользователя логин и пароль, затем атаковали систему и второй сервер.

Будем вводить двухфаторную авторизацию, VPN тут не сильно поможет, данные от него у пользователя тоже легко украсть (много удаленных сотрудников).

 

Stub.exe относится к разряду VHO:Trojan-Ransom.Win32.Agent.gen

Изменено пользователем kda7889
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
8 minutes ago, Ratimir said:

добрый день, на сервак попал opix-шифровальщик

Создайте, пожалуйста, в данном разделе новую тему. Чтобы не было путаницы в логах и рекомендациях.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      Шифровальщик just
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      Шифровальщик
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      Шифровальщик ooo4ps bitlocker
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...