Перейти к содержанию

Помощь в дешифровке DarkStar


Рекомендуемые сообщения

14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe

 

Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.

 

Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.

Logs_Files.7z

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Файл ds.exe заархвируйте с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

 

57 минут назад, TVagapov сказал:

На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\****.RU\\net;logon\ds.exe

Здесь шифровальщик очевидно загружается с DC. Значит под угрозой были все устройства, подключаемые к домену.

На других устройствах антивирус не сработал, или не был установлен?

 

57 минут назад, TVagapov сказал:

На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными). 

Возможно, смогли отключить антивирусную защиту через политики домена, или через задачи в консоли управления, если смогли к ней получить доступ.

 

Можете проверить в этих политиках есть строки запуска ds.exe?:

"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

На других устройствах антивирус не сработал.

При проверке DC файл ds.exe не был обнаружен. На одном из компьютеров файл был обнаружен в C:\PrograData, но был нулевого размера. На данный момент не удалось обнаружить ни одного экземпляра этого файла.

Прилагаю архив с файлами политик: в одной политике строка не обнаружена, другая - нечитаемая. На контроллере домена ds.exe в политике был, это уже исправили.

Politics.7z

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, TVagapov сказал:

При проверке DC файл ds.exe не был обнаружен

проверьте, может в карантинах антивирусов есть, где было срабатывание.

 

2 часа назад, TVagapov сказал:

Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.

По хорошему, нужен серьезный аудит по защите периметра сети, а так же наличию уязвимостей в системах и приложениях, по политике с бэкапами. Чтобы избежать в будущем новых атак шифровальщиков.

 

По восстановлению данных после шифрования:

Это ведь Lockbit v3 Black, и расшифровать файлы не получится не имея приватного ключа.

 

 

28 минут назад, safety сказал:

проверьте, может в карантинах антивирусов есть, где было срабатывание.

В политиках как правило настраивают два запуска:

один с локального устройства, путем его копирования с DC в папку, чаще всего в Programdata и запуск из Programdata,

второй запуск  с DC.  Но как правило, если один процесс с шифрованием уже есть, второй будет закрыт.

Ссылка на комментарий
Поделиться на другие сайты

Удалось отловить шифровальщик:

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них.
Ссылка на комментарий
Поделиться на другие сайты

а пароль можете указать с которым был запуск ds.exe?

возможно пароль был прописан в политике, или в скрипте запуска, в таком виде:

Цитата

ds.exe -pass строка пароля

пароль можно написать в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • 5 месяцев спустя...
5 минут назад, OlegZ72 сказал:

Здравствуйте! Можете помочь в подобной проблеме? Есть пароль от скрипта запуска.

Создайте отдельную тему в данном разделе, не пишите в чужой теме.

Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Павел Бурдейный
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Владислав Эпштейн
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • itz
      Автор itz
      Добрый день, помогите пожалуйста с определением типа шифровальщика и возможности расшифровать данные файлы. Прилагаю несколько файлов в архиве и записку с требованиями
      bNch5yfLR.README.txt шифровальщик.rar
    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Helsing13
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
×
×
  • Создать...