lockbit v3 black Помощь в дешифровке DarkStar

[TVagapov]

14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe

 

Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.

 

Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.

Logs_Files.7z

Изменено 16 августа пользователем safety

[safety]

Файл ds.exe заархвируйте с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

 

57 минут назад, TVagapov сказал:

На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\****.RU\\net;logon\ds.exe

Здесь шифровальщик очевидно загружается с DC. Значит под угрозой были все устройства, подключаемые к домену.

На других устройствах антивирус не сработал, или не был установлен?

 

57 минут назад, TVagapov сказал:

На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными). 

Возможно, смогли отключить антивирусную защиту через политики домена, или через задачи в консоли управления, если смогли к ней получить доступ.

 

Можете проверить в этих политиках есть строки запуска ds.exe?:

"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ

 

Изменено 15 августа пользователем safety

[TVagapov]

На других устройствах антивирус не сработал.

При проверке DC файл ds.exe не был обнаружен. На одном из компьютеров файл был обнаружен в C:\PrograData, но был нулевого размера. На данный момент не удалось обнаружить ни одного экземпляра этого файла.

Прилагаю архив с файлами политик: в одной политике строка не обнаружена, другая - нечитаемая. На контроллере домена ds.exe в политике был, это уже исправили.

Politics.7z

[safety]

1 час назад, TVagapov сказал:

При проверке DC файл ds.exe не был обнаружен

проверьте, может в карантинах антивирусов есть, где было срабатывание.

 

2 часа назад, TVagapov сказал:

Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.

По хорошему, нужен серьезный аудит по защите периметра сети, а так же наличию уязвимостей в системах и приложениях, по политике с бэкапами. Чтобы избежать в будущем новых атак шифровальщиков.

 

По восстановлению данных после шифрования:

Это ведь Lockbit v3 Black, и расшифровать файлы не получится не имея приватного ключа.

 

 

28 минут назад, safety сказал:

проверьте, может в карантинах антивирусов есть, где было срабатывание.

В политиках как правило настраивают два запуска:

один с локального устройства, путем его копирования с DC в папку, чаще всего в Programdata и запуск из Programdata,

второй запуск  с DC.  Но как правило, если один процесс с шифрованием уже есть, второй будет закрыт.

[TVagapov]

Удалось отловить шифровальщик:

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них.

[safety]

а пароль можете указать с которым был запуск ds.exe?

возможно пароль был прописан в политике, или в скрипте запуска, в таком виде:

Цитата

ds.exe -pass строка пароля

пароль можно написать в ЛС.

Изменено 20 августа пользователем safety