blacklegion Зашифровали сервер через рдп. Obsidiancpt

[Mihel]

Под утро проломились на РДП. Всё зашифровали
exe и dll не трогали

определить тип шифровальщика пока не получилось

на рабочем столе обнаружились 2 папки. Одна из них видимо с самим шифровальщиком и парой вирусов (кейлоггеры и отключалка антивируса) и вторая mimikatz.

Что то можно сделать для расшифровки?

Addition.txt files.zip FRST.txt

[mike 1]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Скачайте FRST отсюда
• Отключите до перезагрузки антивирус.
• Выделите следующий код:
   

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Task: {B6246467-BDC4-484F-935E-34B962F02F81} - System32\Tasks\{830DFC57-0F0F-4120-8FC2-B0FF8FCCCA54} => D:\TEMP\0\R7701001\DISK1\setup.exe  (Нет файла) <==== ВНИМАНИЕ
  Task: {479A14F6-65F3-476C-9EDB-AFC4EB08539F} - System32\Tasks\{DEDC2A89-C271-465B-B129-8D2D651354BB} => D:\TEMP\0\R7701001\DISK1\setup.exe  (Нет файла) <==== ВНИМАНИЕ
  End::

  
   

• Скопируйте выделенный текст (правой кнопкой - Копировать).

• Запустите FRST (FRST64) от имени администратора.

• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

3 часа назад, Mihel сказал:

Что то можно сделать для расшифровки?

Заводите тикет в Kaspersky Company Account, если есть коммерческая лицензия. 

[Mihel]

3 часа назад, mike 1 сказал:

Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

прикладываю

Fixlog.txt

[safety]

Этот файл

2024-07-02 05:00 - 2024-06-19 00:52 - 000123392 _____ () C:\Users\Администратор\Desktop\ObsidianCpt.exe

+

Цитата

на рабочем столе обнаружились 2 папки. Одна из них видимо с самим шифровальщиком и парой вирусов (кейлоггеры и отключалка антивируса) и вторая mimikatz.

 

папки с данными файлами добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

 

Изменено 5 июля, 2024 пользователем safety

[Mihel]

9 часов назад, safety сказал:

папки с данными файлами добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

отправлено.

[safety]

1 час назад, Mihel сказал:

отправлено.

Сэмпл шифровальщика:

https://www.virustotal.com/gui/file/de3b062eaac5f36141183046d83cef2cf77196489a37dfeb9061c86b4471441c?nocache=1

второй вариант шифрования *.NeonGPT

https://www.virustotal.com/gui/file/f53ac28e9b0ec8535333795ab9e0e52b17a77ad5eabc7b5172bd7e7aac41df12/behavior

остальное: вспомогательные инструменты

[safety]

Дополнительно, по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
2024-07-02 05:00 - 2024-07-02 10:25 - 000000000 ____D C:\Users\Администратор\Desktop\RAN0
2024-07-02 05:00 - 2024-06-19 00:52 - 000123392 _____ () C:\Users\Администратор\Desktop\ObsidianCpt.exe
2024-07-02 04:11 - 2024-07-02 05:57 - 000000000 ____D C:\Users\Администратор\Desktop\x64
2024-07-02 05:12 - 2024-07-02 05:12 - 000001954 _____ C:\Users\Администратор\Desktop\Readme-1HCK49GItQ.txt
2024-07-02 05:12 - 2024-07-02 05:12 - 000001954 _____ C:\Readme-1HCK49GItQ.txt
2024-07-02 05:11 - 2024-07-02 05:11 - 000001954 _____ C:\Users\Администратор\Desktop\Readme-sWmr9D4hFH.txt
2024-07-02 05:11 - 2024-07-02 05:11 - 000001954 _____ C:\Readme-sWmr9D4hFH.txt
2024-07-02 05:10 - 2024-07-02 05:10 - 000001954 _____ C:\Users\Администратор\Desktop\Readme.txt
2024-07-02 05:10 - 2024-07-02 05:10 - 000001954 _____ C:\Readme.txt
2024-07-02 05:09 - 2024-07-02 05:09 - 000000000 ___HD C:\LockBIT
Task: {83A3A19D-B8A3-4AC3-9EA0-BE52DBB5988C} - System32\Tasks\RunDeleteFilesAsSystem => C:\Users\Администратор\Desktop\RAN\RA\Anti-recovery.exe  deleteFiles (Нет файла)
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

проверьте ЛС

[Mihel]

1 час назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

1 час назад, safety сказал:

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

отправил

Fixlog.txt

[safety]

С расшифровкой файлов по данному типу шифровальщика, к сожалению, не сможем помочь. Сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено 5 июля, 2024 пользователем safety