lokilocker Хапнули шифровальщика похоже через RDP, остался файл в корне диска *.hta

[Шевченко Максим]

Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.

FRST.txt Вирус.zip

[safety]

Эти файлы не удаляйте

2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\Users\Buh\Documents\Cpriv.BlackBit
2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\Users\Buh\Desktop\Cpriv.BlackBit
2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\ProgramData\Cpriv.BlackBit

Они нужны будут, если когда-нибудь будет возможна расшифровка Blackbit

-------

скрипт очистки сейчас добавлю

[safety]

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
2024-08-06 05:00 - 2024-08-06 05:00 - 000000387 _____ C:\Restore-My-Files.txt
2024-08-06 04:59 - 2024-08-06 05:00 - 000005913 _____ C:\ProgramData\info.BlackBit
2024-08-06 04:59 - 2024-08-06 04:59 - 000110592 ___SH C:\ProgramData\a4q4dh5d.exe
2024-08-06 04:59 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\WINDOWS\winlogon.exe
2024-08-06 05:02 - 2019-10-11 09:21 - 000000000 ____D C:\RDPWrap
2024-08-06 05:01 - 2019-10-11 14:11 - 000000000 ____D C:\Program Files\RDP Wrapper
2024-08-06 04:59 - 2024-08-06 04:59 - 000110592 ___SH () C:\ProgramData\a4q4dh5d.exe
2024-08-06 05:01 - 2024-08-06 05:01 - 000000387 _____ () C:\Program Files\Restore-My-Files.txt
2024-08-06 05:01 - 2024-08-06 05:01 - 000000387 _____ () C:\Program Files (x86)\Restore-My-Files.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

[Шевченко Максим]

У меня вопрос как можно защитить касперского, тут стоял кес 12.4 с защитой паролем, вирус его снёс и поставил Iobit кучу программ.

[Sandor]

Вероятно ваш пароль администратора совпадал с паролем защиты антивируса, что неверно. Настраивается это в политике.

Предыдущую рекомендацию всё же выполните, пожалуйста.

[Шевченко Максим]

Благодарю, все снес ставлю вчистую, из бэкапа система не хочет подниматься, а файлы все вчерашние нормальные.

 

[mike 1]

5 часов назад, Шевченко Максим сказал:

У меня вопрос как можно защитить касперского, тут стоял кес 12.4 с защитой паролем, вирус его снёс и поставил Iobit кучу программ.

Здравствуйте. Если KES управлялся с KSC, то проверьте журнал аудита в KSC и перечень инсталляционных пакетов, т.к. могли раскатать удаленно с KSC ВПО. Если ваша локальная сеть никак не была сегментирована, то злоумышленник мог поднять фиктивный KSC и переключить клиента на него. Для защиты от таких атак рекомендуется придерживаться следующих рекомендаций https://support.kaspersky.com/KSC/14.2/ru-RU/245736.htm , https://support.kaspersky.ru/kes12/266605 

[safety]

10 часов назад, mike 1 сказал:

т.к. могли раскатать удаленно с KSC ВПО

в этом случае шифрование могло затронуть и другие устройства в сети. Вряд ли злоумышленники распространили пакет удаления только на одно устройство. Но LokiLocker, по крайней мере еще, не замечен в подобных атаках. Чаще, это Lockbit, реже Mimic, еще реже Phobos. Возможно, просто вынесли KES через IOrbit имея максимальные права в системе. По идее Iorbit должен классифицироваться как потенциальное опасное ПО, т.е. антивирус не должен дать установиться подобному ПО, если нет соответствующих исключений.

Цитата

все снес ставлю вчистую

 

Правильно я вас понял, что систему вы переустановили, соответственно очистки в FRST не выполняли и карантин не собрали? В таком случае не будет и возможности получить логи с анализом причин проникновения злоумышленников.

 

Расшифровка файлов по данному типу шифровальщика к сожалению, невозможна без приватного ключа.

Изменено 7 августа, 2024 пользователем safety

[mike 1]

3 минуты назад, safety сказал:

Возможно, просто вынесли KES через IOrbit имея максимальные права в системе

При поднятом фиктивном KSC можно отключить парольную защиту KES с самозащитой через политику и спокойно делать свои чёрные дела. 

[safety]

37 минут назад, mike 1 сказал:

При поднятом фиктивном KSC можно отключить парольную защиту KES с самозащитой через политику и спокойно делать свои чёрные дела.

Наверное это не так просто сделать. По идее при создании KSC или любого другого центра управления, создаются сертификаты, которые затем распространяются на приложения и агенты. Если злоумышленник не имеет сертификатов, созданных для оригинального сервера управления, то он будет вынужден создавать новые сертификаты для распространения на приложения и агенты. И здесь может быть конфликт, что агент подписанный одним (оригинальным) сертификатом не сможет подключиться к (фиктивному) серверу с другим сертификатом.

 

(Т.е. я обычно поднимал второй сервер под новые версии, но переподключал к нему действующие агенты через политики или задачи изменения конфигурации с первого сервера).

Изменено 7 августа, 2024 пользователем safety

[Шевченко Максим]

Добрый день, KSC тут нет отдельный комп в отдельном офисе, дырка была через RDP. Сам дурак прощелкал этот момент везде уже закрыл прямой доступ, а тут забыл.

4 часа назад, safety сказал:

в этом случае шифрование могло затронуть и другие устройства в сети. Вряд ли злоумышленники распространили пакет удаления только на одно устройство. Но LokiLocker, по крайней мере еще, не замечен в подобных атаках. Чаще, это Lockbit, реже Mimic, еще реже Phobos. Возможно, просто вынесли KES через IOrbit имея максимальные права в системе. По идее Iorbit должен классифицироваться как потенциальное опасное ПО, т.е. антивирус не должен дать установиться подобному ПО, если нет соответствующих исключений.

 

Правильно я вас понял, что систему вы переустановили, соответственно очистки в FRST не выполняли и карантин не собрали? В таком случае не будет и возможности получить логи с анализом причин проникновения злоумышленников.

 

Расшифровка файлов по данному типу шифровальщика к сожалению, невозможна без приватного ключа.

Все зашифрованное содрал в образ, но надо было возвращать доступ к базам, поэтому извините, было бы интересно конечно анализ провести.

[safety]

44 минуты назад, Шевченко Максим сказал:

было бы интересно конечно анализ провести.

 В ЛС оставил вам информацию, можно проверить на вновь установленной системе, все  ли закрыты критические уязвимости, и проч. полезные настройки. Но уже без событий, связанных  проникновением, возможным брутфорсом учетных записей и установкой нежелательных программ.

[mike 1]

13 часов назад, safety сказал:

Наверное это не так просто сделать.

Это очень легко сделать.