Перейти к содержанию

Помощь в дешифровке DarkStar


Рекомендуемые сообщения

14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe

 

Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.

 

Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.

Logs_Files.7z

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Файл ds.exe заархвируйте с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

 

57 минут назад, TVagapov сказал:

На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\****.RU\\net;logon\ds.exe

Здесь шифровальщик очевидно загружается с DC. Значит под угрозой были все устройства, подключаемые к домену.

На других устройствах антивирус не сработал, или не был установлен?

 

57 минут назад, TVagapov сказал:

На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными). 

Возможно, смогли отключить антивирусную защиту через политики домена, или через задачи в консоли управления, если смогли к ней получить доступ.

 

Можете проверить в этих политиках есть строки запуска ds.exe?:

"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

На других устройствах антивирус не сработал.

При проверке DC файл ds.exe не был обнаружен. На одном из компьютеров файл был обнаружен в C:\PrograData, но был нулевого размера. На данный момент не удалось обнаружить ни одного экземпляра этого файла.

Прилагаю архив с файлами политик: в одной политике строка не обнаружена, другая - нечитаемая. На контроллере домена ds.exe в политике был, это уже исправили.

Politics.7z

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, TVagapov сказал:

При проверке DC файл ds.exe не был обнаружен

проверьте, может в карантинах антивирусов есть, где было срабатывание.

 

2 часа назад, TVagapov сказал:

Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.

По хорошему, нужен серьезный аудит по защите периметра сети, а так же наличию уязвимостей в системах и приложениях, по политике с бэкапами. Чтобы избежать в будущем новых атак шифровальщиков.

 

По восстановлению данных после шифрования:

Это ведь Lockbit v3 Black, и расшифровать файлы не получится не имея приватного ключа.

 

 

28 минут назад, safety сказал:

проверьте, может в карантинах антивирусов есть, где было срабатывание.

В политиках как правило настраивают два запуска:

один с локального устройства, путем его копирования с DC в папку, чаще всего в Programdata и запуск из Programdata,

второй запуск  с DC.  Но как правило, если один процесс с шифрованием уже есть, второй будет закрыт.

Ссылка на комментарий
Поделиться на другие сайты

Удалось отловить шифровальщик:

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них.
Ссылка на комментарий
Поделиться на другие сайты

а пароль можете указать с которым был запуск ds.exe?

возможно пароль был прописан в политике, или в скрипте запуска, в таком виде:

Цитата

ds.exe -pass строка пароля

пароль можно написать в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • gin
      От gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • Инфлюенсер
      От Инфлюенсер
      Добрый день, произошел взлом системы. Пострадали пк и сервера, злоумышленник зашифровал данные. Так же попросил выкуп. для теста дал пароль от одного из дисков с помощью которого удалось расшифровать диск с которого собраны логи по запросу, в данный момент диски заблокированы. Требуется ли с помощью программы R.Saver   попытаться вытащить какиет-о файлы, так как в настоящий момент  диски являются роу
      Addition.txtFRST.txt
    • Константин agromoll34
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Alexk6
      От Alexk6
      После криворукого админа возникли проблемы. Поймали шифровальщик. Админ сделал терминальный сервер из Win 11 Home на котором работали 6-7 человек, все с админскими правами. Браузером пользовались все с этого сервера. Файлы меньше 8 мб не затронуты. Ссылка на шифрованный файл и его орегинал https://cloud.mail.ru/public/a4nf/zJDX69Qs9
    • vika_
      От vika_
      Добрый день! Компьютеру лет 10, вообще не разбираюсь, что и как у него. Решила включить, вроде заработал, но сильно шумел. Подумала, что надо друга то почистить,  но вот, когда открыла, поняла, что не знаю как действовать.
       Во-первых, лежали две детали, без своего места. Во-вторых, смутили 3 провода, которые висели, не подключенные никуда. Ну и в-третьих, можно ли аккуратно снять вентилятор и почистить за ним, боюсь чтоб не случилось ничего(
      Прошу понять и простить меня: в компьютерах совсем 0((


×
×
  • Создать...