Перейти к содержанию
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Шифровальщик .OPIX

kda7889
 Share Подписчики 1

Рекомендуемые сообщения

kda7889

kda7889 1

Опубликовано
Опубликовано (изменено)

Привет.

16.05.2024 под конец рабочего дня мне сотрудник прислал скрин, что у него в сеансе RemoteApp (RDP) вместе с 1С появилось черное окно.

1-7766.thumb.jpg.47d9caf70efdd0ba1327f9aab7791e89.jpg

Я подключился к нашему серверу RemoteApp[10-7], запустил taskmgr и обнаружил большое количество процессов от несуществующих пользователей DWM-**.

2-dwm.thumb.jpg.af5518577788d640b4d763df6692187a.jpg

Скачал и запустил Kaspersky Virus Removal Tool на сервер [10-7], и сразу на сервер где лежат сами базы [10-2].

На сервере [10-2] ничего не обнаружено, на сервере [10-7] была обнаружена папка с файлами.

3-PeerProfit.thumb.jpg.d80d4bf29147a543471ae1b4b81908e9.jpg

Я запаковал папку 1Peer2Profit в архив, могу скинуть если будет нужно. Вот отчет vt.

Удалил все угрозы с помощью KVRT, очистив зараженные объекты, убедился что никаких лишних процессов от лже-пользователей нет, и затем запустил более глубокое сканирование на обоих машинах и отключился, т.к. время ожидания явно превышало несколько часов.

 

Через некоторое время мне прилетело уведомление на телефон, что виртуальная машина домена WinServ2012 которая расположена на сервере [10-7] недоступна, подключиться к нему я так-же не смог.

Отправил его в перезагрузку, проверил сервер [10-2], все было в порядке.

Спустя некоторое время смог получить доступ к серверу [10-7], через запасного пользователя, все основные админские были отключены. Файлы были зашифрованы расширением .OPIX

Пропала связь с сервером [10-2], подключившись к нему, также обнаружили что все файлы зашифрованы.

 

Подготовил логи анализа системы при помощи Farbar Recovery Scan Tool, так-же в архивах по 2 зашифрованных файла с каждого сервера и файл с контактами вредителей.

Внутри положил зашифрованные файлы, так и файлы в оригинальном виде, надеюсь это поможет.

Купил Касперский Office Security, поставил. Ничего не обнаружено.

Жду Вашей помощи.

 

p.s.

был резервный изолированный бэкап, но мы его только начали делать, там 1/3 от того что нужно для деятельности. не повторяйте наших ошибок, это очень больно.

 

OPIX_client_data.zip

Изменено пользователем kda7889
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано (изменено)

добавьте в архив с паролем virus данные файлы:

По 10-2:

2024-05-16 23:06 - 2024-05-16 23:48 - 000482816 _____ C:\Stub.exe

 

+ эту папку с файлами:

Quote

Я запаковал папку 1Peer2Profit в архив, могу скинуть если будет нужно. Вот отчет vt.

 

Архив загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 


 

Изменено пользователем safety
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
  • safety changed the title to Шифровальщик .OPIX
kda7889

kda7889 1

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо за отлик.

После нескольких часов работы, Касперский Office Security нашел много нового и интересного.

Все опубликовано. Сслыку отправил в личку.

1245755563_.PNG.d0b5eec43ab953328865074642906396.PNG

 

Посмотрев логи, понятно что злоумышленники проникли по RDP получив с домашнего утройства пользователя логин и пароль, затем атаковали систему и второй сервер.

Будем вводить двухфаторную авторизацию, VPN тут не сильно поможет, данные от него у пользователя тоже легко украсть (много удаленных сотрудников).

 

Stub.exe относится к разряду VHO:Trojan-Ransom.Win32.Agent.gen

Изменено пользователем kda7889
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано
8 minutes ago, Ratimir said:

добрый день, на сервак попал opix-шифровальщик

Создайте, пожалуйста, в данном разделе новую тему. Чтобы не было путаницы в логах и рекомендациях.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Vital888
      Вирус шифровальщик
      От Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
    • NikMan
      Шифровальщик ZENEX
      От NikMan
      Добрый день
      Есть ли на данный момент дешифратор к данному типу шифровальщика?
       
       
      файл.7z
    • chasey
      shinra9 модификация протона
      От chasey
      теневые копии спасли 2 диска, но я не помню вылили они включены на третьем, или их подчистили. шифранули в основном фоточки и видео
      судя по логам пытались запускать
       
      C:\Users\lwsa\Desktop\x64-Release\start.bat
      C:\Users\lwsa\Desktop\x64-Release\NS.exe
      пытался восстановить эти файлы с диска, неудачно

       
      #SHINRA-Recovery.txt
      FRST.txt
      Архив 2.zip
    • MaxBarsk
      Шифровальщик ProblemSolver@onionmail.com
      От MaxBarsk
      Доброго дня.
      Словили вирус, все файлы зашифрованы. Пользователи: Администратор и два аккаунта. Пускает только под пользователем. Хэш, куки почистили, почту почистили, телеграм почистили. Как попал вирус пока не ясно.
      Во вложении: логи, архив (2 файла с шифром), записка. FRST.txt#SHINRA-Recovery.txtDesktop.rar
×
×
  • Создать...