lokilocker Хапнули шифровальщика похоже через RDP, остался файл в корне диска *.hta

6 августа

Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.

FRST.txt Вирус.zip

6 августа

Эти файлы не удаляйте

2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\Users\Buh\Documents\Cpriv.BlackBit
2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\Users\Buh\Desktop\Cpriv.BlackBit
2024-08-06 05:00 - 2024-08-06 05:00 - 000003328 _____ C:\ProgramData\Cpriv.BlackBit

Они нужны будут, если когда-нибудь будет возможна расшифровка Blackbit

-------

скрипт очистки сейчас добавлю

6 августа

По очистке в FRST:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

Start::
2024-08-06 05:00 - 2024-08-06 05:00 - 000000387 _____ C:\Restore-My-Files.txt
2024-08-06 04:59 - 2024-08-06 05:00 - 000005913 _____ C:\ProgramData\info.BlackBit
2024-08-06 04:59 - 2024-08-06 04:59 - 000110592 ___SH C:\ProgramData\a4q4dh5d.exe
2024-08-06 04:59 - 2024-04-03 22:14 - 000555520 ___SH (Microsoft) C:\WINDOWS\winlogon.exe
2024-08-06 05:02 - 2019-10-11 09:21 - 000000000 ____D C:\RDPWrap
2024-08-06 05:01 - 2019-10-11 14:11 - 000000000 ____D C:\Program Files\RDP Wrapper
2024-08-06 04:59 - 2024-08-06 04:59 - 000110592 ___SH () C:\ProgramData\a4q4dh5d.exe
2024-08-06 05:01 - 2024-08-06 05:01 - 000000387 _____ () C:\Program Files\Restore-My-Files.txt
2024-08-06 05:01 - 2024-08-06 05:01 - 000000387 _____ () C:\Program Files (x86)\Restore-My-Files.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

6 августа

У меня вопрос как можно защитить касперского, тут стоял кес 12.4 с защитой паролем, вирус его снёс и поставил Iobit кучу программ.

6 августа

Вероятно ваш пароль администратора совпадал с паролем защиты антивируса, что неверно. Настраивается это в политике.

Предыдущую рекомендацию всё же выполните, пожалуйста.

6 августа

Благодарю, все снес ставлю вчистую, из бэкапа система не хочет подниматься, а файлы все вчерашние нормальные.

6 августа

5 часов назад, Шевченко Максим сказал:

У меня вопрос как можно защитить касперского, тут стоял кес 12.4 с защитой паролем, вирус его снёс и поставил Iobit кучу программ.

Здравствуйте. Если KES управлялся с KSC, то проверьте журнал аудита в KSC и перечень инсталляционных пакетов, т.к. могли раскатать удаленно с KSC ВПО. Если ваша локальная сеть никак не была сегментирована, то злоумышленник мог поднять фиктивный KSC и переключить клиента на него. Для защиты от таких атак рекомендуется придерживаться следующих рекомендаций https://support.kaspersky.com/KSC/14.2/ru-RU/245736.htm , https://support.kaspersky.ru/kes12/266605

7 августа

10 часов назад, mike 1 сказал:

т.к. могли раскатать удаленно с KSC ВПО

в этом случае шифрование могло затронуть и другие устройства в сети. Вряд ли злоумышленники распространили пакет удаления только на одно устройство. Но LokiLocker, по крайней мере еще, не замечен в подобных атаках. Чаще, это Lockbit, реже Mimic, еще реже Phobos. Возможно, просто вынесли KES через IOrbit имея максимальные права в системе. По идее Iorbit должен классифицироваться как потенциальное опасное ПО, т.е. антивирус не должен дать установиться подобному ПО, если нет соответствующих исключений.

Цитата

все снес ставлю вчистую

Правильно я вас понял, что систему вы переустановили, соответственно очистки в FRST не выполняли и карантин не собрали? В таком случае не будет и возможности получить логи с анализом причин проникновения злоумышленников.

Расшифровка файлов по данному типу шифровальщика к сожалению, невозможна без приватного ключа.

Изменено 7 августа пользователем safety

7 августа

3 минуты назад, safety сказал:

Возможно, просто вынесли KES через IOrbit имея максимальные права в системе

При поднятом фиктивном KSC можно отключить парольную защиту KES с самозащитой через политику и спокойно делать свои чёрные дела.

7 августа

37 минут назад, mike 1 сказал:

При поднятом фиктивном KSC можно отключить парольную защиту KES с самозащитой через политику и спокойно делать свои чёрные дела.

Наверное это не так просто сделать. По идее при создании KSC или любого другого центра управления, создаются сертификаты, которые затем распространяются на приложения и агенты. Если злоумышленник не имеет сертификатов, созданных для оригинального сервера управления, то он будет вынужден создавать новые сертификаты для распространения на приложения и агенты. И здесь может быть конфликт, что агент подписанный одним (оригинальным) сертификатом не сможет подключиться к (фиктивному) серверу с другим сертификатом.

(Т.е. я обычно поднимал второй сервер под новые версии, но переподключал к нему действующие агенты через политики или задачи изменения конфигурации с первого сервера).

Изменено 7 августа пользователем safety

7 августа

Добрый день, KSC тут нет отдельный комп в отдельном офисе, дырка была через RDP. Сам дурак прощелкал этот момент везде уже закрыл прямой доступ, а тут забыл.

4 часа назад, safety сказал:

в этом случае шифрование могло затронуть и другие устройства в сети. Вряд ли злоумышленники распространили пакет удаления только на одно устройство. Но LokiLocker, по крайней мере еще, не замечен в подобных атаках. Чаще, это Lockbit, реже Mimic, еще реже Phobos. Возможно, просто вынесли KES через IOrbit имея максимальные права в системе. По идее Iorbit должен классифицироваться как потенциальное опасное ПО, т.е. антивирус не должен дать установиться подобному ПО, если нет соответствующих исключений.

Правильно я вас понял, что систему вы переустановили, соответственно очистки в FRST не выполняли и карантин не собрали? В таком случае не будет и возможности получить логи с анализом причин проникновения злоумышленников.

Расшифровка файлов по данному типу шифровальщика к сожалению, невозможна без приватного ключа.

Все зашифрованное содрал в образ, но надо было возвращать доступ к базам, поэтому извините, было бы интересно конечно анализ провести.

7 августа

44 минуты назад, Шевченко Максим сказал:

было бы интересно конечно анализ провести.

В ЛС оставил вам информацию, можно проверить на вновь установленной системе, все ли закрыты критические уязвимости, и проч. полезные настройки. Но уже без событий, связанных проникновением, возможным брутфорсом учетных записей и установкой нежелательных программ.

7 августа

13 часов назад, safety сказал:

Наверное это не так просто сделать.

Это очень легко сделать.

lokilocker Хапнули шифровальщика похоже через RDP, остался файл в корне диска *.hta

Рекомендуемые сообщения

Шевченко Максим

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Шевченко Максим

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Шевченко Максим

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Шевченко Максим

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum