Перейти к содержанию

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB


Рекомендуемые сообщения

Здравствуйте. На рабочем компе случилась печаль беда. Я так подозреваю, что вирус попал через RDP. Зашифровались как файлы офиса, так и файлы базы 1С. Ломанули админскую учетку, отрубили защиту и сделали все эти непотребства. Антивирусом были определены: Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn. 

Addition.txt Desktop.rar FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Детект каким продуктом или программой был выполнен? Можете предоставить сэмпл шифровальщика с этим детектом? В архиве с паролем virus, по ссылке на облачный диск в личные сообщения. Если сохранились логи сканирования - добавьте в архиве во вложения или через облачный диск лог сканирования.

Ссылка на комментарий
Поделиться на другие сайты

17 минут назад, safety сказал:

Детект каким продуктом или программой был выполнен? Можете предоставить сэмпл шифровальщика с этим детектом? В архиве с паролем virus, по ссылке на облачный диск в личные сообщения. Если сохранились логи сканирования - добавьте в архиве во вложения или через облачный диск лог сканирования.

Стандартным дефендором. Сэмпл не сохранился, переустановили винду, успел вот только перед переустановкой просканировать и сохранил зашифрованные файлы.

Ссылка на комментарий
Поделиться на другие сайты

Печально.

Без сэмпла не сможем однозначно определить тип шифровальщика.

Эти детекты все были в WinDef?

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn.

По шифровальщикам все важно знать: и сэмпл,  и логи сканирования, и записку о выкупе и зашифрованные файлы. Если хотите расшифровать ваши файлы.

Если это Akira, то она впервые здесь на форуме, значит число активных шифровальщиков, которые атакуют российских пользователей  все время увеличивается.

но, возможно, это был Proton. Если смотреть по этому детекту

Microsoft Ransom:Win64/Akira.CCDR!MTB

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

Kaspersky HEUR:Trojan-Ransom.Win32.Generic

https://www.virustotal.com/gui/file/343716187ae7a3dcd6ebb8677335b9ca43f6552225c505156352d86e44488d33/detection

 

По Proton, к сожалению, расшифровка невозможна без приватного ключа.

ИМенно они практикуют рандомное имя зашифрованного файла + расширение + записка о выкупе

#RansomNoteName.txt

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

26 минут назад, Bandersnatch сказал:

вот только перед переустановкой просканировать

а лог сканирования можете добавить? или под сканированием имеете ввиду логи FRST?

Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, safety сказал:

Печально.

Без сэмпла не сможет однозначно определить тип шифровальщика.

Эти детекты все были в WinDef?

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn.

По шифровальщикам все важно знать: и сэмпл,  и логи сканирования, и записку о выкупе и зашифрованные файлы. Если хотите расшифровать ваши файлы.

Если это Akira, то она впервые здесь на форуме, значит число активных шифровальщиков, которые атакуют российских пользователей  все время увеличивается.

Детекты да, были в WinDef. Увы, но больше информации не сохранилось, срочно нужно было комп подготовить

1 минуту назад, safety сказал:

а лог сканирования можете добавить? или под сканированием имеете ввиду логи FRST?

Логи FRST

Ссылка на комментарий
Поделиться на другие сайты

Увы, ничем не сможем помочь.

Даже журналы событий не сохранены после переустановки, чтобы проверить причину проникновения злоумышленников.

Все может повториться с атакой шифровальщика через время. Надо делать выводы.

 

Возможно, шифрование было подобным сэмплом. И это модификация Proton.

записка и расширение аналогично вашему случаю.

https://www.virustotal.com/gui/file/30961ede41821c1c7f5b7934b7003c02ab3bdee5e0d8036109685aa8e71ea6e2

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

14 часов назад, safety сказал:

Увы, ничем не сможем помочь.

Спасибо большое за помощь. Вероятность полного отказа от RDP на устройствах, где он есть, поможет восприпятствию подобных случаев? Просто каким либо другим образом, как шифровальщик смог попасть на рабочую станцию, сводится к нулю.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, Bandersnatch сказал:

Вероятность полного отказа от RDP на устройствах, где он есть, поможет восприпятствию подобных случаев?

Если он необходим в работе, зачем же от него отказываться.

просто ограничьте доступ к RDP из внешней сети, предоставьте только тем, кому он нужен, установите надежные пароли, настройте защиту учетных записей от брутфорса, ставьте своевременно обновления системы, по возможности используйте VPN для подключения из внешней сети или только с белого списка ip адресов.

 

Все это перечислено в списке рекомендаций.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

22 минуты назад, safety сказал:

Если он необходим в работе, зачем же от него отказываться.

просто ограничьте доступ к RDP из внешней сети, предоставьте только тем, кому он нужен, установите надежные пароли, настройте защиту учетных записей от брутфорса, ставьте своевременно обновления системы, по возможности используйте VPN для подключения из внешней сети или только с белого списка ip адресов.

 

Все это перечислено в списке рекомендаций.

Ещё раз спасибо за рекомендации и помощь

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

кстати, в репозитарии по ссылке на Proton появились два сэмпла по вашему случаю, хотя данная инфо не поможет расшифровке ваших файлов.

 

Proton/Shinra v2

 

Цитата

40b885a6113325e6d76fc92a9d78e1e6ed8ebf60e741d28b914acf18873f86fe    2024-09-10 18:44:41    mqpoa
30961ede41821c1c7f5b7934b7003c02ab3bdee5e0d8036109685aa8e71ea6e2    2024-09-10 18:44:41    mqpoa

 

 

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

кстати, в репозитарии по ссылке на Proton появились два сэмпла по вашему случаю, хотя данная инфо не поможет расшифровке ваших файлов.

 

Proton/Shinra v2

 

 

 

 

Ну оставлю на всякий случай зашифрованные файлы, возможно в будущем найдется решение, буду периодически посматривать)

Ссылка на комментарий
Поделиться на другие сайты

Да, это верное и лучшее решение. Сохранить важные зашифрованные файлы на отдельный носитель.

Недавно были расшифрованы файлы cry, и прошло 10 лет с момента шифрования.

Иногда и раньше появляется возможность расшифровки, если в доступе появляются приватные ключи.

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • cringemachine
      От cringemachine
      Добрый день
       
      Не удается удалить зловред Trojan:Win64/Reflo.HNS!MTB.
      После удаления/лечения Защитником с последующей очисткой Исключений, зловред почти сразу появляется и создает исключения. 
       
      Ай нид хелп
    • Barrrin
      От Barrrin
      Здравствуйте, позавчера компьютер просто выключился с синим экраном смерти, думал проблема в жестком диске, все проверил все хорошо, думал пройдет просто так пошел играть и просто выдало какую то ошибку что файл игры поврежден и потом опять комп выключился. На след день от антивирусника от windows пишет что обнаружен вирус Trojan:Win64/Reflo.HNS!MTB и его удалить не удается. Скачать программу касперского и показало что якобы проблемыы нет, но мне кажется что вирус сидит в оперативной п амяти, т.к плашки абсолютно хорошо работали до вчерашнего дня и вылазки этой проблемы. Помогите пожалуйста решить данную проблему 
      CollectionLog-2024.06.04-18.24.zip
    • Матвей Аксенов
      От Матвей Аксенов
      Защитник виндовс обнуражил файл под именем cryptinject mtb, попытался через него удалить, но не удалось, также в исключении проверки безопасности виндус, обнаружил системные файлы которые находятся под исключением и удалить их из списка не могу, пытался, подозреваю что мешает вирус. Скачал Касперски ремувал тул, пока результат никакой, пытался скачать др веб курейт, но сайт на пк блокирует вирус, как и этот форум, поэтому пишу с телефона и не могу дать логи. Помогите, что следует делать, и как избавляться от этой заразы. Стоит ли вообще переустанавливать виндус? Никогда этим не занимался, поэтому стремаюсь
    • Evgen2454
      От Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
    • kufzyy
      От kufzyy
      Заметил что дефендер ругается на троян Trojan:MSIL/r77Rootkit.A!MTB, сканировал пк dr.web cureit, dr.web space. Оба ничего не показали, до этого ловил вирус, удалил через доктора, он не грузит систему, он абсолютно не мешает работе на компе, проверял много раз комп ничего абсолютно ничего не находилось, этот повершелл не разу не открывался во время работы тоесть он вообще даже не открывается, пустышка на которую дефендер ругается и удаляет, точку восстановление делать не буду,  при каждом запуске пк он его находит и удаляет
×
×
  • Создать...