phobos Атака шифровальщиком .FAUST на инфраструктуру компании.

[Ak.512 0]

Здравствуйте!

Большая часть инфраструктуры была атакована шифровальщиком-вымогателем, прикладываем файлы диагностики по инструкции.Addition.txtОбразцы.rarinfo.txtFRST.txt
Предварительно атака началась в 23:00 14.07.2024, однако примерное направление пока не выяснили.

 

[safety 107]

Видимо, какое то время сидели в сети.

 

Цитата

Date: 2024-07-07 16:55:20.484
Name: HackTool:Win32/Bruteforcer!MTB
Severity: Высокий
Category: Программное средство
Path: file:_C:\Users\Администратор.TK-LIFE\Desktop\Netscan 1.3\BR2\AccountRestore.exe; process:_pid:54912,ProcessStart:133648173229650695
Detection Origin: Локальный компьютер
Detection Type: Конкретный
Detection Source: Система
Process Name: C:\Users\Администратор.TK-LIFE\Desktop\Netscan 1.3\BR2\AccountRestore.exe
Security intelligence Version: AV: 1.413.743.0, AS: 1.413.743.0, NIS: 0.0.0.0
Engine Version: AM: 1.1.24050.5, NIS: 0.0.0.0

 

Файл шифровальщика обнаружен WinDef 15.07, очевидно в момент атаки шифрованием.

 

Цитата

Date: 2024-07-15 05:47:37.894
Name: Ransom:Win32/Phobos.PM
Severity: Критический
Category: Программа-шантажист
Path: file:_C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe; file:_C:\Users\Администратор.TK-LIFE\AppData\Local\Fast.exe; file:_C:\Users\Администратор.TK-LIFE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe; file:_C:\Users\Администратор.TK-LIFE\Desktop\Fast.exe; process:_pid:23884,ProcessStart:133654661935603362; regkey:_HKCU@S-1-5-21-2654954113-1810372900-500332836-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; regkey:_HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; runkey:_HKCU@S-1-5-21-2654954113-1810372900-500332836-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; runkey:_HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; startup:_C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe; startup:_C:\Users\Администратор.TK-LIFE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe
Detection Origin: Локальный компьютер
Detection Type: Конкретный
Detection Source: Система
Process Name: C:\Users\Администратор.TK-LIFE\Desktop\Fast.exe
Security intelligence Version: AV: 1.415.90.0, AS: 1.415.90.0, NIS: 0.0.0.0
Engine Version: AM: 1.1.24060.5, NIS: 0.0.0.0

Если сохранился файл шифровальщика, добавьте файл в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.