Перейти к содержанию

Атака шифровальщиком .FAUST на инфраструктуру компании.


Рекомендуемые сообщения

Здравствуйте!

Большая часть инфраструктуры была атакована шифровальщиком-вымогателем, прикладываем файлы диагностики по инструкции.Addition.txtОбразцы.rarinfo.txtFRST.txt
Предварительно атака началась в 23:00 14.07.2024, однако примерное направление пока не выяснили.

 

Ссылка на комментарий
Поделиться на другие сайты

Видимо, какое то время сидели в сети.

 

Цитата

Date: 2024-07-07 16:55:20.484
Name: HackTool:Win32/Bruteforcer!MTB
Severity: Высокий
Category: Программное средство
Path: file:_C:\Users\Администратор.TK-LIFE\Desktop\Netscan 1.3\BR2\AccountRestore.exe; process:_pid:54912,ProcessStart:133648173229650695
Detection Origin: Локальный компьютер
Detection Type: Конкретный
Detection Source: Система
Process Name: C:\Users\Администратор.TK-LIFE\Desktop\Netscan 1.3\BR2\AccountRestore.exe
Security intelligence Version: AV: 1.413.743.0, AS: 1.413.743.0, NIS: 0.0.0.0
Engine Version: AM: 1.1.24050.5, NIS: 0.0.0.0

 

Файл шифровальщика обнаружен WinDef 15.07, очевидно в момент атаки шифрованием.

 

Цитата

Date: 2024-07-15 05:47:37.894
Name: Ransom:Win32/Phobos.PM
Severity: Критический
Category: Программа-шантажист
Path: file:_C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe; file:_C:\Users\Администратор.TK-LIFE\AppData\Local\Fast.exe; file:_C:\Users\Администратор.TK-LIFE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe; file:_C:\Users\Администратор.TK-LIFE\Desktop\Fast.exe; process:_pid:23884,ProcessStart:133654661935603362; regkey:_HKCU@S-1-5-21-2654954113-1810372900-500332836-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; regkey:_HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; runkey:_HKCU@S-1-5-21-2654954113-1810372900-500332836-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; runkey:_HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; startup:_C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe; startup:_C:\Users\Администратор.TK-LIFE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe
Detection Origin: Локальный компьютер
Detection Type: Конкретный
Detection Source: Система
Process Name: C:\Users\Администратор.TK-LIFE\Desktop\Fast.exe
Security intelligence Version: AV: 1.415.90.0, AS: 1.415.90.0, NIS: 0.0.0.0
Engine Version: AM: 1.1.24060.5, NIS: 0.0.0.0

Если сохранился файл шифровальщика, добавьте файл в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
×
×
  • Создать...