Перейти к содержанию

Хапнули шифровальщика похоже через RDP, остался файл в корне диска *.hta


Рекомендуемые сообщения

Шевченко Максим
Опубликовано

Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.

FRST.txt Вирус.zip

Опубликовано

Эти файлы не удаляйте

2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\Users\Buh\Documents\Cpriv.BlackBit
2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\Users\Buh\Desktop\Cpriv.BlackBit
2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\ProgramData\Cpriv.BlackBit

Они нужны будут, если когда-нибудь будет возможна расшифровка Blackbit

-------

скрипт очистки сейчас добавлю

Опубликовано

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
2024-08-06 05:00 - 2024-08-06 05:00 - 000000387 _____ C:\Restore-My-Files.txt
2024-08-06 04:59 - 2024-08-06 05:00 - 000005913 _____ C:\ProgramData\info.BlackBit
2024-08-06 04:59 - 2024-08-06 04:59 - 000110592 ___SH C:\ProgramData\a4q4dh5d.exe
2024-08-06 04:59 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\WINDOWS\winlogon.exe
2024-08-06 05:02 - 2019-10-11 09:21 - 000000000 ____D C:\RDPWrap
2024-08-06 05:01 - 2019-10-11 14:11 - 000000000 ____D C:\Program Files\RDP Wrapper
2024-08-06 04:59 - 2024-08-06 04:59 - 000110592 ___SH () C:\ProgramData\a4q4dh5d.exe
2024-08-06 05:01 - 2024-08-06 05:01 - 000000387 _____ () C:\Program Files\Restore-My-Files.txt
2024-08-06 05:01 - 2024-08-06 05:01 - 000000387 _____ () C:\Program Files (x86)\Restore-My-Files.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Шевченко Максим
Опубликовано

У меня вопрос как можно защитить касперского, тут стоял кес 12.4 с защитой паролем, вирус его снёс и поставил Iobit кучу программ.

Опубликовано

Вероятно ваш пароль администратора совпадал с паролем защиты антивируса, что неверно. Настраивается это в политике.

Предыдущую рекомендацию всё же выполните, пожалуйста.

Шевченко Максим
Опубликовано

Благодарю, все снес ставлю вчистую, из бэкапа система не хочет подниматься, а файлы все вчерашние нормальные.

 

Опубликовано
5 часов назад, Шевченко Максим сказал:

У меня вопрос как можно защитить касперского, тут стоял кес 12.4 с защитой паролем, вирус его снёс и поставил Iobit кучу программ.

Здравствуйте. Если KES управлялся с KSC, то проверьте журнал аудита в KSC и перечень инсталляционных пакетов, т.к. могли раскатать удаленно с KSC ВПО. Если ваша локальная сеть никак не была сегментирована, то злоумышленник мог поднять фиктивный KSC и переключить клиента на него. Для защиты от таких атак рекомендуется придерживаться следующих рекомендаций https://support.kaspersky.com/KSC/14.2/ru-RU/245736.htm , https://support.kaspersky.ru/kes12/266605 

Опубликовано (изменено)
10 часов назад, mike 1 сказал:

т.к. могли раскатать удаленно с KSC ВПО

в этом случае шифрование могло затронуть и другие устройства в сети. Вряд ли злоумышленники распространили пакет удаления только на одно устройство. Но LokiLocker, по крайней мере еще, не замечен в подобных атаках. Чаще, это Lockbit, реже Mimic, еще реже Phobos. Возможно, просто вынесли KES через IOrbit имея максимальные права в системе. По идее Iorbit должен классифицироваться как потенциальное опасное ПО, т.е. антивирус не должен дать установиться подобному ПО, если нет соответствующих исключений.

Цитата

все снес ставлю вчистую

 

Правильно я вас понял, что систему вы переустановили, соответственно очистки в FRST не выполняли и карантин не собрали? В таком случае не будет и возможности получить логи с анализом причин проникновения злоумышленников.

 

Расшифровка файлов по данному типу шифровальщика к сожалению, невозможна без приватного ключа.

Изменено пользователем safety
Опубликовано
3 минуты назад, safety сказал:

Возможно, просто вынесли KES через IOrbit имея максимальные права в системе

При поднятом фиктивном KSC можно отключить парольную защиту KES с самозащитой через политику и спокойно делать свои чёрные дела. 

Опубликовано (изменено)
37 минут назад, mike 1 сказал:

При поднятом фиктивном KSC можно отключить парольную защиту KES с самозащитой через политику и спокойно делать свои чёрные дела.

Наверное это не так просто сделать. По идее при создании KSC или любого другого центра управления, создаются сертификаты, которые затем распространяются на приложения и агенты. Если злоумышленник не имеет сертификатов, созданных для оригинального сервера управления, то он будет вынужден создавать новые сертификаты для распространения на приложения и агенты. И здесь может быть конфликт, что агент подписанный одним (оригинальным) сертификатом не сможет подключиться к (фиктивному) серверу с другим сертификатом.

 

(Т.е. я обычно поднимал второй сервер под новые версии, но переподключал к нему действующие агенты через политики или задачи изменения конфигурации с первого сервера).

Изменено пользователем safety
Шевченко Максим
Опубликовано

Добрый день, KSC тут нет отдельный комп в отдельном офисе, дырка была через RDP. Сам дурак прощелкал этот момент везде уже закрыл прямой доступ, а тут забыл.

4 часа назад, safety сказал:

в этом случае шифрование могло затронуть и другие устройства в сети. Вряд ли злоумышленники распространили пакет удаления только на одно устройство. Но LokiLocker, по крайней мере еще, не замечен в подобных атаках. Чаще, это Lockbit, реже Mimic, еще реже Phobos. Возможно, просто вынесли KES через IOrbit имея максимальные права в системе. По идее Iorbit должен классифицироваться как потенциальное опасное ПО, т.е. антивирус не должен дать установиться подобному ПО, если нет соответствующих исключений.

 

Правильно я вас понял, что систему вы переустановили, соответственно очистки в FRST не выполняли и карантин не собрали? В таком случае не будет и возможности получить логи с анализом причин проникновения злоумышленников.

 

Расшифровка файлов по данному типу шифровальщика к сожалению, невозможна без приватного ключа.

Все зашифрованное содрал в образ, но надо было возвращать доступ к базам, поэтому извините, было бы интересно конечно анализ провести.

Опубликовано
44 минуты назад, Шевченко Максим сказал:

было бы интересно конечно анализ провести.

 В ЛС оставил вам информацию, можно проверить на вновь установленной системе, все  ли закрыты критические уязвимости, и проч. полезные настройки. Но уже без событий, связанных  проникновением, возможным брутфорсом учетных записей и установкой нежелательных программ.

Опубликовано
13 часов назад, safety сказал:

Наверное это не так просто сделать.

Это очень легко сделать. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • k.mishnev87
      Автор k.mishnev87
      Все доброго времени суток. Для начала туп как пробка, и совсем не разбираюсь в вопросе.
      Не смотря на то что у меня стоить Касперский Премиум, я каким то чудом словил шифровальщик Loki Locker.
      В ПК у меня стояло 5 дисков + сетевой диск к которому с ПК был безконтрольный доступ. Эта зараза зашифровала абсолютно все. Мен спасло только то что был свежий бэкап важно по работе информации.
      Но как итог, отключил 4 диска, системный снес и поставил чистую винду, подключил несистемный ССД, снес полностью заново проинициализировал, создал том. 
      Восстановил.
      Осталось еще 3 HDD, два по 4ТБ и один на 2 ТБ. Вот их надо спасти и дешифровать, там слишком много полезной информации.
      Прикрепляю три зашифрованных файла и текст требование. На сайте касперского и крипто шериф искал - нету.
       
      Помогите пожалуйста.
      Loki.rar
    • Юрий_Колбин
      Автор Юрий_Колбин
      Desktop.zip
       
      Организация поймала шифровальщик.
      Каспер был благополучно остановлен и запущен kavremover.
      Расскажите о перспективах расшифровки.
      Пароль 12345
      Есть так-же образцы этой заразы, если поможет, могу выложить.
    • Avrora21
      Автор Avrora21
      Здравствуйте! ПК поражен шифровальщиком Loki locker (Miracle11@keemail.me Miiracle11@yandex.com).
      Есть ли возможность расшифровать пораженные файлы?
      Прилагаю архив с зашифрованными файлами и запиской о выкупе.
      E.7z
    • Alexey_K
      Автор Alexey_K
      Добрый день. Поймали шифровальщика. Возможно ли как-то восстановить файлы?
      Addition.txt FRST.txt files.zip
    • ad_art
      Автор ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
×
×
  • Создать...