Перейти к содержанию

Рекомендуемые сообщения

14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe

 

Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.

 

Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.

Logs_Files.7z

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Файл ds.exe заархвируйте с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

 

57 минут назад, TVagapov сказал:

На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\****.RU\\net;logon\ds.exe

Здесь шифровальщик очевидно загружается с DC. Значит под угрозой были все устройства, подключаемые к домену.

На других устройствах антивирус не сработал, или не был установлен?

 

57 минут назад, TVagapov сказал:

На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными). 

Возможно, смогли отключить антивирусную защиту через политики домена, или через задачи в консоли управления, если смогли к ней получить доступ.

 

Можете проверить в этих политиках есть строки запуска ds.exe?:

"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

На других устройствах антивирус не сработал.

При проверке DC файл ds.exe не был обнаружен. На одном из компьютеров файл был обнаружен в C:\PrograData, но был нулевого размера. На данный момент не удалось обнаружить ни одного экземпляра этого файла.

Прилагаю архив с файлами политик: в одной политике строка не обнаружена, другая - нечитаемая. На контроллере домена ds.exe в политике был, это уже исправили.

Politics.7z

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, TVagapov сказал:

При проверке DC файл ds.exe не был обнаружен

проверьте, может в карантинах антивирусов есть, где было срабатывание.

 

2 часа назад, TVagapov сказал:

Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.

По хорошему, нужен серьезный аудит по защите периметра сети, а так же наличию уязвимостей в системах и приложениях, по политике с бэкапами. Чтобы избежать в будущем новых атак шифровальщиков.

 

По восстановлению данных после шифрования:

Это ведь Lockbit v3 Black, и расшифровать файлы не получится не имея приватного ключа.

 

 

28 минут назад, safety сказал:

проверьте, может в карантинах антивирусов есть, где было срабатывание.

В политиках как правило настраивают два запуска:

один с локального устройства, путем его копирования с DC в папку, чаще всего в Programdata и запуск из Programdata,

второй запуск  с DC.  Но как правило, если один процесс с шифрованием уже есть, второй будет закрыт.

Ссылка на сообщение
Поделиться на другие сайты

Удалось отловить шифровальщик:

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них.
Ссылка на сообщение
Поделиться на другие сайты

а пароль можете указать с которым был запуск ds.exe?

возможно пароль был прописан в политике, или в скрипте запуска, в таком виде:

Цитата

ds.exe -pass строка пароля

пароль можно написать в ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
    • mappey3
      От mappey3
      все файлы зашифрованы как быть с этим?

    • T3D
      От T3D
      Произошло шифрование файлов. Был запущен процесс LB3.exe, на момент сканирования, процесс был закрыт. В приложении зашифрованные файлы (по одному из них предоставил его восстановленный из бэкапа вариант). Файл-шифровальщик сохранен. При необходимости может быть предоставлен.
      Addition.txt FRST.txt приложение.zip
    • Muhamor
      От Muhamor
      собственно зашифровало нужные файлы. Прошу помощи. 
      Addition.txt FRST.txt бухгал. письма на передвижку.docx.rar
×
×
  • Создать...