Перейти к содержанию

Рекомендуемые сообщения

14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe

 

Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.

 

Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.

Logs_Files.7z

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Файл ds.exe заархвируйте с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

 

57 минут назад, TVagapov сказал:

На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\****.RU\\net;logon\ds.exe

Здесь шифровальщик очевидно загружается с DC. Значит под угрозой были все устройства, подключаемые к домену.

На других устройствах антивирус не сработал, или не был установлен?

 

57 минут назад, TVagapov сказал:

На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными). 

Возможно, смогли отключить антивирусную защиту через политики домена, или через задачи в консоли управления, если смогли к ней получить доступ.

 

Можете проверить в этих политиках есть строки запуска ds.exe?:

"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

На других устройствах антивирус не сработал.

При проверке DC файл ds.exe не был обнаружен. На одном из компьютеров файл был обнаружен в C:\PrograData, но был нулевого размера. На данный момент не удалось обнаружить ни одного экземпляра этого файла.

Прилагаю архив с файлами политик: в одной политике строка не обнаружена, другая - нечитаемая. На контроллере домена ds.exe в политике был, это уже исправили.

Politics.7z

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, TVagapov сказал:

При проверке DC файл ds.exe не был обнаружен

проверьте, может в карантинах антивирусов есть, где было срабатывание.

 

2 часа назад, TVagapov сказал:

Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.

По хорошему, нужен серьезный аудит по защите периметра сети, а так же наличию уязвимостей в системах и приложениях, по политике с бэкапами. Чтобы избежать в будущем новых атак шифровальщиков.

 

По восстановлению данных после шифрования:

Это ведь Lockbit v3 Black, и расшифровать файлы не получится не имея приватного ключа.

 

 

28 минут назад, safety сказал:

проверьте, может в карантинах антивирусов есть, где было срабатывание.

В политиках как правило настраивают два запуска:

один с локального устройства, путем его копирования с DC в папку, чаще всего в Programdata и запуск из Programdata,

второй запуск  с DC.  Но как правило, если один процесс с шифрованием уже есть, второй будет закрыт.

Ссылка на сообщение
Поделиться на другие сайты

Удалось отловить шифровальщик:

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них.
Ссылка на сообщение
Поделиться на другие сайты

а пароль можете указать с которым был запуск ds.exe?

возможно пароль был прописан в политике, или в скрипте запуска, в таком виде:

Цитата

ds.exe -pass строка пароля

пароль можно написать в ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Gennadiy89
      От Gennadiy89
      Всем привет недавно зашифровали файлы на компе расширение "MZEM8GTPE" . Электронную почту в файле readme оставили почта help@room155.online или room155@tuta.io. Требуют 20-30 тысяч за восстановление файлов. Хорошо многие файлы дома на другом компе сохранены, за последние пару недель файлы остались зашифрованными только. Подскажите добрые люди можно ли как то расшифровать?
      выписка.docx
    • kseninon
      От kseninon
      Добрый день, 
       
      Пришла сегодня на работу, а все файлы с расширением hzRYnHDoB и ничего не открывается. Запустила Касперского, он нашел Trojan.Win64.Miner.gen
       
      Что можно сделать? Помогите, пожалуйста.
      hzRYnHDoB.README.txt
    • ASPIDWAR
      От ASPIDWAR
      Всем доброго времени суток. Поймал вирус шифровальщик через архив. Теперь все файлы перед форматом имеют расширение 9ebhyPlsg. Лог и прочие файлы прикладываю. Shif-Files - зашифрованный файл и файл с требованиями злоумышленников. С системой ничего не делал. Стоит Windows 7 X64
      Addition.txt FRST.txt Shif-files.zip
    • Михаил14
      От Михаил14
      Здравствуйте
      В пятницу поймали такой же шифровальщик (j8mzhi9uZ)
      Пропали базы 1С, договора, в общем много всего!
      Попросили 600 долларов 
      Реально спасти файлы или придется платить?
       
       
    • Mickl1977
      От Mickl1977
      Подключились к серверу 03.0087 в 00:19 часа примерно и зашифровали файлы.  Файлы получили расширение .IxehUe8Rg. Есть ли возможность расшифровать?
      Files.rar
×
×
  • Создать...