Помогите отследить вирус

[s2v]

Добрый день!

В бухгалтерию пришло письма с архивом

Успели открыть на терминальном сервере и архив сразу исчез. В течении минут 5-7 сообщили сис админам.

Сервер немедленно перезагрузили и пробежался по нему антивирусом, но ничего не нашел.

Просьба помочь отследить куда мог залезть вирус и где его подчистить.

Заранее благодарен

 

[s2v]

нашелся другим антивирусом
Heuristic.2122, C:\USERS\---------\DESKTOP\\u00d0\u00a1\u00d1\u0082\u00d0\u00b0\u00d1\u0080\u00d1\u008b\u00d0\u00b9 \u00d0\u00a0\u00d0\u00a1\DESKTOP\SCAN\PETRYNIN YRA\\u00d0\u009d\u00d0\u00b0 \u00d0\u00be\u00d1\u0085\u00d0\u00be\u00d1\u0082\u00d1\u0083\\u00d0\u00a1\u00d0\u00b0\u00d0\u00bc\u00d0\u00be\u00d0\u00ba\u00d1\u0080\u00d1\u0083\u00d1\u0082-V011.EXE, Проигнорировано пользователем, 1000001, 1246567, 1.0.86336, 00000000000000000000084A, dds, 02887582, 22338D04524C5EE9343FC58CB1007B48, BB13D1107CBEEBB7D9D40DF9D0EFC1A42F4C188E0F20E198828553A281A60551
 

[safety]

Письмо где открыли? на ПК бухгалтера, или  почта у бухгалтера на терминальном сервере?

Вообщем, лучше сделать логи на сервере и на ПК бухгалтера. Возможно, это была атака шифровальщика Lockbit v3 Black (room155). Вначале из вложения ,добавленного в рассылку ставится бэкдор, который вполне может и не заметить/задетектировать установленный антивирус, затем уже будет шифрование.

 

Сделайте это:

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

и это:

 

Quote

 

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Загрузите в ваше сообщение файлы FRST.txt, Addition.txt

 

 

Изменено 28 июня пользователем safety

[safety]

45 minutes ago, s2v said:

22338D04524C5EE9343FC58CB1007B48, BB13D1107CBEEBB7D9D40DF9D0EFC1A42F4C188E0F20E198828553A281A60551

может здесь найдено что-то другое. Не связанное с текущей атакой из почты.

 

если есть копия архива из вложения, загрузите на облачный диск с паролем virus, и дайте ссылку на скачивание в ЛС

 

файл из вложения:

https://www.virustotal.com/gui/file/847a9300c2d9324a0851df6e9f4a10a103f185ba7fcb9bf61f6077a9ee0c1745/behavior

 

Quote

Просьба помочь отследить куда мог залезть вирус и где его подчистить.

в автозапуске может быть эта строка:

"C:\Windows\System32\regsvr32.exe" /i /s "C:\Users\<USER>\AppData\Local\dynwrapx.dll"

Изменено 28 июня пользователем safety

[s2v]

Логи во вложении.

Прошу прощения, затупил со сборов вторых логов

TERMINAL_2024-06-28_18-21-45_v4.15.7v.7z Addition.txt FRST.txt

 

4 часа назад, safety сказал:

dynwrapx.dll

В логах не нашелся, видимо все таки успели вовремя ребутнуть.

[safety]

по логам здесь чисто.

Сделайте еще логи с ПК бухгалтера, возможно запуск файла из вложения был на ее устройстве.

[s2v]

к сожалению, только в ПН смогу это сделать.

Но это маловероятно, тк бух только на сервере работает.

Огромное спасибо за помощь.

[safety]

On 29.06.2024 at 12:52, s2v said:

только в ПН смогу это сделать.

Но это маловероятно, тк бух только на сервере работает.

лучше перепроверить, чтобы убедиться что  ПК бухгалтера не был затронут атакой + установить у нее в локальных политиках запрет на запуск исполняемых из архивов.

Изменено 1 июля пользователем safety