Перейти к содержанию

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB

Bandersnatch
 Поделиться

Рекомендуемые сообщения

Bandersnatch

Bandersnatch

Опубликовано
Опубликовано

Здравствуйте. На рабочем компе случилась печаль беда. Я так подозреваю, что вирус попал через RDP. Зашифровались как файлы офиса, так и файлы базы 1С. Ломанули админскую учетку, отрубили защиту и сделали все эти непотребства. Антивирусом были определены: Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn. 

Addition.txt Desktop.rar FRST.txt

safety

safety

Опубликовано
Опубликовано

Детект каким продуктом или программой был выполнен? Можете предоставить сэмпл шифровальщика с этим детектом? В архиве с паролем virus, по ссылке на облачный диск в личные сообщения. Если сохранились логи сканирования - добавьте в архиве во вложения или через облачный диск лог сканирования.

Bandersnatch

Bandersnatch

Опубликовано
  • Автор
Опубликовано
17 минут назад, safety сказал:

Детект каким продуктом или программой был выполнен? Можете предоставить сэмпл шифровальщика с этим детектом? В архиве с паролем virus, по ссылке на облачный диск в личные сообщения. Если сохранились логи сканирования - добавьте в архиве во вложения или через облачный диск лог сканирования.

Стандартным дефендором. Сэмпл не сохранился, переустановили винду, успел вот только перед переустановкой просканировать и сохранил зашифрованные файлы.

safety

safety

Опубликовано
Опубликовано (изменено)

Печально.

Без сэмпла не сможем однозначно определить тип шифровальщика.

Эти детекты все были в WinDef?

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn.

По шифровальщикам все важно знать: и сэмпл,  и логи сканирования, и записку о выкупе и зашифрованные файлы. Если хотите расшифровать ваши файлы.

Если это Akira, то она впервые здесь на форуме, значит число активных шифровальщиков, которые атакуют российских пользователей  все время увеличивается.

но, возможно, это был Proton. Если смотреть по этому детекту

Microsoft Ransom:Win64/Akira.CCDR!MTB

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

Kaspersky HEUR:Trojan-Ransom.Win32.Generic

https://www.virustotal.com/gui/file/343716187ae7a3dcd6ebb8677335b9ca43f6552225c505156352d86e44488d33/detection

 

По Proton, к сожалению, расшифровка невозможна без приватного ключа.

ИМенно они практикуют рандомное имя зашифрованного файла + расширение + записка о выкупе

#RansomNoteName.txt

Изменено пользователем safety
  • Спасибо (+1) 1
safety

safety

Опубликовано
Опубликовано
26 минут назад, Bandersnatch сказал:

вот только перед переустановкой просканировать

а лог сканирования можете добавить? или под сканированием имеете ввиду логи FRST?

Bandersnatch

Bandersnatch

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

Печально.

Без сэмпла не сможет однозначно определить тип шифровальщика.

Эти детекты все были в WinDef?

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn.

По шифровальщикам все важно знать: и сэмпл,  и логи сканирования, и записку о выкупе и зашифрованные файлы. Если хотите расшифровать ваши файлы.

Если это Akira, то она впервые здесь на форуме, значит число активных шифровальщиков, которые атакуют российских пользователей  все время увеличивается.

Детекты да, были в WinDef. Увы, но больше информации не сохранилось, срочно нужно было комп подготовить

1 минуту назад, safety сказал:

а лог сканирования можете добавить? или под сканированием имеете ввиду логи FRST?

Логи FRST

safety

safety

Опубликовано
Опубликовано (изменено)

Увы, ничем не сможем помочь.

Даже журналы событий не сохранены после переустановки, чтобы проверить причину проникновения злоумышленников.

Все может повториться с атакой шифровальщика через время. Надо делать выводы.

 

Возможно, шифрование было подобным сэмплом. И это модификация Proton.

записка и расширение аналогично вашему случаю.

https://www.virustotal.com/gui/file/30961ede41821c1c7f5b7934b7003c02ab3bdee5e0d8036109685aa8e71ea6e2

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
  • Спасибо (+1) 1
Bandersnatch

Bandersnatch

Опубликовано
  • Автор
Опубликовано (изменено)
14 часов назад, safety сказал:

Увы, ничем не сможем помочь.

Спасибо большое за помощь. Вероятность полного отказа от RDP на устройствах, где он есть, поможет восприпятствию подобных случаев? Просто каким либо другим образом, как шифровальщик смог попасть на рабочую станцию, сводится к нулю.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
8 часов назад, Bandersnatch сказал:

Вероятность полного отказа от RDP на устройствах, где он есть, поможет восприпятствию подобных случаев?

Если он необходим в работе, зачем же от него отказываться.

просто ограничьте доступ к RDP из внешней сети, предоставьте только тем, кому он нужен, установите надежные пароли, настройте защиту учетных записей от брутфорса, ставьте своевременно обновления системы, по возможности используйте VPN для подключения из внешней сети или только с белого списка ip адресов.

 

Все это перечислено в списке рекомендаций.

  • Спасибо (+1) 1
Bandersnatch

Bandersnatch

Опубликовано
  • Автор
Опубликовано
22 минуты назад, safety сказал:

Если он необходим в работе, зачем же от него отказываться.

просто ограничьте доступ к RDP из внешней сети, предоставьте только тем, кому он нужен, установите надежные пароли, настройте защиту учетных записей от брутфорса, ставьте своевременно обновления системы, по возможности используйте VPN для подключения из внешней сети или только с белого списка ip адресов.

 

Все это перечислено в списке рекомендаций.

Ещё раз спасибо за рекомендации и помощь

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

кстати, в репозитарии по ссылке на Proton появились два сэмпла по вашему случаю, хотя данная инфо не поможет расшифровке ваших файлов.

 

Proton/Shinra v2

 

Цитата

40b885a6113325e6d76fc92a9d78e1e6ed8ebf60e741d28b914acf18873f86fe    2024-09-10 18:44:41    mqpoa
30961ede41821c1c7f5b7934b7003c02ab3bdee5e0d8036109685aa8e71ea6e2    2024-09-10 18:44:41    mqpoa

 

 

 

  • Спасибо (+1) 1
Bandersnatch

Bandersnatch

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

кстати, в репозитарии по ссылке на Proton появились два сэмпла по вашему случаю, хотя данная инфо не поможет расшифровке ваших файлов.

 

Proton/Shinra v2

 

 

 

 

Ну оставлю на всякий случай зашифрованные файлы, возможно в будущем найдется решение, буду периодически посматривать)

safety

safety

Опубликовано
Опубликовано

Да, это верное и лучшее решение. Сохранить важные зашифрованные файлы на отдельный носитель.

Недавно были расшифрованы файлы cry, и прошло 10 лет с момента шифрования.

Иногда и раньше появляется возможность расшифровки, если в доступе появляются приватные ключи.

 

  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • cringemachine
      Trojan:Win64/Reflo.HNS!MTB
      Автор cringemachine
      Добрый день
       
      Не удается удалить зловред Trojan:Win64/Reflo.HNS!MTB.
      После удаления/лечения Защитником с последующей очисткой Исключений, зловред почти сразу появляется и создает исключения. 
       
      Ай нид хелп
    • Sidri
      [РАСШИФРОВАНО]Шифровальщик ransom:Win32/Sorikrypt
      Автор Sidri
      Доброго дня.
      Антивирусом Windows найден шифровальщик ransom:Win32/Sorikrypt. Cureit не нашел ничего.
      В архиве зашифрованные файлы, файл с требованием денег и папка с каким-то ключом.
       
      Addition.txt FRST.txt зашифрованные_файлы.zip
    • Aleksandr Korolev
      Вирус шифровальщик ContiCrypt.MFP!MTB
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
    • uzayri1999
      [РЕШЕНО] Trojan:PowerShell/Boxter.HBZ!MTB
      Автор uzayri1999
      Как и у многих нагружается процессор, во время игр чувствуется просадка по мощности из-за этого. Смотрел предыдущие темы на сайте по этой проблеме но не сильно разобрался. Нужна помощь

    • FedyaSochi
      [РЕШЕНО] Trojan:PowerShell/Powdow.HNDD!MTB
      Автор FedyaSochi
      Занес вирус по случайности/незнанию/тупости из телеграмм бота который записывает вообще все действия на устройстве и естественно его никак не удалить. Прошу помощи!
      CollectionLog-2025.02.03-08.07.zip
×
×
  • Создать...