Перейти к содержанию

Хапнули шифровальщика похоже через RDP, остался файл в корне диска *.hta


Рекомендуемые сообщения

Шевченко Максим
Опубликовано

Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.

FRST.txt Вирус.zip

Опубликовано

Эти файлы не удаляйте

2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\Users\Buh\Documents\Cpriv.BlackBit
2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\Users\Buh\Desktop\Cpriv.BlackBit
2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\ProgramData\Cpriv.BlackBit

Они нужны будут, если когда-нибудь будет возможна расшифровка Blackbit

-------

скрипт очистки сейчас добавлю

Опубликовано

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
2024-08-06 05:00 - 2024-08-06 05:00 - 000000387 _____ C:\Restore-My-Files.txt
2024-08-06 04:59 - 2024-08-06 05:00 - 000005913 _____ C:\ProgramData\info.BlackBit
2024-08-06 04:59 - 2024-08-06 04:59 - 000110592 ___SH C:\ProgramData\a4q4dh5d.exe
2024-08-06 04:59 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\WINDOWS\winlogon.exe
2024-08-06 05:02 - 2019-10-11 09:21 - 000000000 ____D C:\RDPWrap
2024-08-06 05:01 - 2019-10-11 14:11 - 000000000 ____D C:\Program Files\RDP Wrapper
2024-08-06 04:59 - 2024-08-06 04:59 - 000110592 ___SH () C:\ProgramData\a4q4dh5d.exe
2024-08-06 05:01 - 2024-08-06 05:01 - 000000387 _____ () C:\Program Files\Restore-My-Files.txt
2024-08-06 05:01 - 2024-08-06 05:01 - 000000387 _____ () C:\Program Files (x86)\Restore-My-Files.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Шевченко Максим
Опубликовано

У меня вопрос как можно защитить касперского, тут стоял кес 12.4 с защитой паролем, вирус его снёс и поставил Iobit кучу программ.

Опубликовано

Вероятно ваш пароль администратора совпадал с паролем защиты антивируса, что неверно. Настраивается это в политике.

Предыдущую рекомендацию всё же выполните, пожалуйста.

Шевченко Максим
Опубликовано

Благодарю, все снес ставлю вчистую, из бэкапа система не хочет подниматься, а файлы все вчерашние нормальные.

 

Опубликовано
5 часов назад, Шевченко Максим сказал:

У меня вопрос как можно защитить касперского, тут стоял кес 12.4 с защитой паролем, вирус его снёс и поставил Iobit кучу программ.

Здравствуйте. Если KES управлялся с KSC, то проверьте журнал аудита в KSC и перечень инсталляционных пакетов, т.к. могли раскатать удаленно с KSC ВПО. Если ваша локальная сеть никак не была сегментирована, то злоумышленник мог поднять фиктивный KSC и переключить клиента на него. Для защиты от таких атак рекомендуется придерживаться следующих рекомендаций https://support.kaspersky.com/KSC/14.2/ru-RU/245736.htm , https://support.kaspersky.ru/kes12/266605 

Опубликовано (изменено)
10 часов назад, mike 1 сказал:

т.к. могли раскатать удаленно с KSC ВПО

в этом случае шифрование могло затронуть и другие устройства в сети. Вряд ли злоумышленники распространили пакет удаления только на одно устройство. Но LokiLocker, по крайней мере еще, не замечен в подобных атаках. Чаще, это Lockbit, реже Mimic, еще реже Phobos. Возможно, просто вынесли KES через IOrbit имея максимальные права в системе. По идее Iorbit должен классифицироваться как потенциальное опасное ПО, т.е. антивирус не должен дать установиться подобному ПО, если нет соответствующих исключений.

Цитата

все снес ставлю вчистую

 

Правильно я вас понял, что систему вы переустановили, соответственно очистки в FRST не выполняли и карантин не собрали? В таком случае не будет и возможности получить логи с анализом причин проникновения злоумышленников.

 

Расшифровка файлов по данному типу шифровальщика к сожалению, невозможна без приватного ключа.

Изменено пользователем safety
Опубликовано
3 минуты назад, safety сказал:

Возможно, просто вынесли KES через IOrbit имея максимальные права в системе

При поднятом фиктивном KSC можно отключить парольную защиту KES с самозащитой через политику и спокойно делать свои чёрные дела. 

Опубликовано (изменено)
37 минут назад, mike 1 сказал:

При поднятом фиктивном KSC можно отключить парольную защиту KES с самозащитой через политику и спокойно делать свои чёрные дела.

Наверное это не так просто сделать. По идее при создании KSC или любого другого центра управления, создаются сертификаты, которые затем распространяются на приложения и агенты. Если злоумышленник не имеет сертификатов, созданных для оригинального сервера управления, то он будет вынужден создавать новые сертификаты для распространения на приложения и агенты. И здесь может быть конфликт, что агент подписанный одним (оригинальным) сертификатом не сможет подключиться к (фиктивному) серверу с другим сертификатом.

 

(Т.е. я обычно поднимал второй сервер под новые версии, но переподключал к нему действующие агенты через политики или задачи изменения конфигурации с первого сервера).

Изменено пользователем safety
Шевченко Максим
Опубликовано

Добрый день, KSC тут нет отдельный комп в отдельном офисе, дырка была через RDP. Сам дурак прощелкал этот момент везде уже закрыл прямой доступ, а тут забыл.

4 часа назад, safety сказал:

в этом случае шифрование могло затронуть и другие устройства в сети. Вряд ли злоумышленники распространили пакет удаления только на одно устройство. Но LokiLocker, по крайней мере еще, не замечен в подобных атаках. Чаще, это Lockbit, реже Mimic, еще реже Phobos. Возможно, просто вынесли KES через IOrbit имея максимальные права в системе. По идее Iorbit должен классифицироваться как потенциальное опасное ПО, т.е. антивирус не должен дать установиться подобному ПО, если нет соответствующих исключений.

 

Правильно я вас понял, что систему вы переустановили, соответственно очистки в FRST не выполняли и карантин не собрали? В таком случае не будет и возможности получить логи с анализом причин проникновения злоумышленников.

 

Расшифровка файлов по данному типу шифровальщика к сожалению, невозможна без приватного ключа.

Все зашифрованное содрал в образ, но надо было возвращать доступ к базам, поэтому извините, было бы интересно конечно анализ провести.

Опубликовано
44 минуты назад, Шевченко Максим сказал:

было бы интересно конечно анализ провести.

 В ЛС оставил вам информацию, можно проверить на вновь установленной системе, все  ли закрыты критические уязвимости, и проч. полезные настройки. Но уже без событий, связанных  проникновением, возможным брутфорсом учетных записей и установкой нежелательных программ.

Опубликовано
13 часов назад, safety сказал:

Наверное это не так просто сделать.

Это очень легко сделать. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • Бебра
      Автор Бебра
      У меня есть несистемный HDD, он почти перестал работать, я попробовал перенести файлы с него на новый SSD при помощи HDD Raw Copy Tool, предварительно введя ПК в безопасный режим, но теперь многие данные на SSD повреждены и выдают «ошибка файловой системы», HDD ещё читается, но очень тормозит.
    • alya
      Автор alya
      ENKACRYPT-QRLFPOCXG5AW2JW9LLSPRCIVOA5MON8XKYKTTC2ZOZG" (.enkacrypt-QRLFPOCxg5aw2jW9lLsPRcIVOA5MOn8xKYkTtC2zOzg)
      Вот такой теперь формат абсолютно у всех файлов после вируса шифровальщика
      Прикрепляю пару файлов и письмо от злоумышленников 
      Может кто уже сталкивался с ними?  
      Attachments_sysadmin_spb@conte.ru_2025-08-25_11-12-08.zip
    • yarkroft
      Автор yarkroft
      Добрый день, на рабочий бухгалтерский компьютер попал вирус и зашифровал много информации. Система и некоторые приложения по типу браузера не зашифрованы и работают.
×
×
  • Создать...