proton ransomware Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB

[Bandersnatch 1]

Здравствуйте. На рабочем компе случилась печаль беда. Я так подозреваю, что вирус попал через RDP. Зашифровались как файлы офиса, так и файлы базы 1С. Ломанули админскую учетку, отрубили защиту и сделали все эти непотребства. Антивирусом были определены: Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn. 

Addition.txt Desktop.rar FRST.txt

[safety 133]

Детект каким продуктом или программой был выполнен? Можете предоставить сэмпл шифровальщика с этим детектом? В архиве с паролем virus, по ссылке на облачный диск в личные сообщения. Если сохранились логи сканирования - добавьте в архиве во вложения или через облачный диск лог сканирования.

[Bandersnatch 1]

17 минут назад, safety сказал:

Детект каким продуктом или программой был выполнен? Можете предоставить сэмпл шифровальщика с этим детектом? В архиве с паролем virus, по ссылке на облачный диск в личные сообщения. Если сохранились логи сканирования - добавьте в архиве во вложения или через облачный диск лог сканирования.

Стандартным дефендором. Сэмпл не сохранился, переустановили винду, успел вот только перед переустановкой просканировать и сохранил зашифрованные файлы.

[safety 133]

Печально.

Без сэмпла не сможем однозначно определить тип шифровальщика.

Эти детекты все были в WinDef?

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn.

По шифровальщикам все важно знать: и сэмпл,  и логи сканирования, и записку о выкупе и зашифрованные файлы. Если хотите расшифровать ваши файлы.

Если это Akira, то она впервые здесь на форуме, значит число активных шифровальщиков, которые атакуют российских пользователей  все время увеличивается.

но, возможно, это был Proton. Если смотреть по этому детекту

Microsoft Ransom:Win64/Akira.CCDR!MTB

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

Kaspersky HEUR:Trojan-Ransom.Win32.Generic

https://www.virustotal.com/gui/file/343716187ae7a3dcd6ebb8677335b9ca43f6552225c505156352d86e44488d33/detection

 

По Proton, к сожалению, расшифровка невозможна без приватного ключа.

ИМенно они практикуют рандомное имя зашифрованного файла + расширение + записка о выкупе

#RansomNoteName.txt

Изменено 18 сентября пользователем safety

[safety 133]

26 минут назад, Bandersnatch сказал:

вот только перед переустановкой просканировать

а лог сканирования можете добавить? или под сканированием имеете ввиду логи FRST?

[Bandersnatch 1]

6 минут назад, safety сказал:

Печально.

Без сэмпла не сможет однозначно определить тип шифровальщика.

Эти детекты все были в WinDef?

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn.

По шифровальщикам все важно знать: и сэмпл,  и логи сканирования, и записку о выкупе и зашифрованные файлы. Если хотите расшифровать ваши файлы.

Если это Akira, то она впервые здесь на форуме, значит число активных шифровальщиков, которые атакуют российских пользователей  все время увеличивается.

Детекты да, были в WinDef. Увы, но больше информации не сохранилось, срочно нужно было комп подготовить

1 минуту назад, safety сказал:

а лог сканирования можете добавить? или под сканированием имеете ввиду логи FRST?

Логи FRST

[safety 133]

Увы, ничем не сможем помочь.

Даже журналы событий не сохранены после переустановки, чтобы проверить причину проникновения злоумышленников.

Все может повториться с атакой шифровальщика через время. Надо делать выводы.

 

Возможно, шифрование было подобным сэмплом. И это модификация Proton.

записка и расширение аналогично вашему случаю.

https://www.virustotal.com/gui/file/30961ede41821c1c7f5b7934b7003c02ab3bdee5e0d8036109685aa8e71ea6e2

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 18 сентября пользователем safety

[Bandersnatch 1]

14 часов назад, safety сказал:

Увы, ничем не сможем помочь.

Спасибо большое за помощь. Вероятность полного отказа от RDP на устройствах, где он есть, поможет восприпятствию подобных случаев? Просто каким либо другим образом, как шифровальщик смог попасть на рабочую станцию, сводится к нулю.

Изменено 18 сентября пользователем safety

[safety 133]

8 часов назад, Bandersnatch сказал:

Вероятность полного отказа от RDP на устройствах, где он есть, поможет восприпятствию подобных случаев?

Если он необходим в работе, зачем же от него отказываться.

просто ограничьте доступ к RDP из внешней сети, предоставьте только тем, кому он нужен, установите надежные пароли, настройте защиту учетных записей от брутфорса, ставьте своевременно обновления системы, по возможности используйте VPN для подключения из внешней сети или только с белого списка ip адресов.

 

Все это перечислено в списке рекомендаций.

[Bandersnatch 1]

22 минуты назад, safety сказал:

Если он необходим в работе, зачем же от него отказываться.

просто ограничьте доступ к RDP из внешней сети, предоставьте только тем, кому он нужен, установите надежные пароли, настройте защиту учетных записей от брутфорса, ставьте своевременно обновления системы, по возможности используйте VPN для подключения из внешней сети или только с белого списка ip адресов.

 

Все это перечислено в списке рекомендаций.

Ещё раз спасибо за рекомендации и помощь

[safety 133]

кстати, в репозитарии по ссылке на Proton появились два сэмпла по вашему случаю, хотя данная инфо не поможет расшифровке ваших файлов.

 

Proton/Shinra v2

 

Цитата

40b885a6113325e6d76fc92a9d78e1e6ed8ebf60e741d28b914acf18873f86fe    2024-09-10 18:44:41    mqpoa
30961ede41821c1c7f5b7934b7003c02ab3bdee5e0d8036109685aa8e71ea6e2    2024-09-10 18:44:41    mqpoa

 

 

 

[Bandersnatch 1]

1 час назад, safety сказал:

кстати, в репозитарии по ссылке на Proton появились два сэмпла по вашему случаю, хотя данная инфо не поможет расшифровке ваших файлов.

 

Proton/Shinra v2

 

 

 

 

Ну оставлю на всякий случай зашифрованные файлы, возможно в будущем найдется решение, буду периодически посматривать)

[safety 133]

Да, это верное и лучшее решение. Сохранить важные зашифрованные файлы на отдельный носитель.

Недавно были расшифрованы файлы cry, и прошло 10 лет с момента шифрования.

Иногда и раньше появляется возможность расшифровки, если в доступе появляются приватные ключи.