Перейти к содержанию

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB


Рекомендуемые сообщения

Здравствуйте. На рабочем компе случилась печаль беда. Я так подозреваю, что вирус попал через RDP. Зашифровались как файлы офиса, так и файлы базы 1С. Ломанули админскую учетку, отрубили защиту и сделали все эти непотребства. Антивирусом были определены: Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn. 

Addition.txt Desktop.rar FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Детект каким продуктом или программой был выполнен? Можете предоставить сэмпл шифровальщика с этим детектом? В архиве с паролем virus, по ссылке на облачный диск в личные сообщения. Если сохранились логи сканирования - добавьте в архиве во вложения или через облачный диск лог сканирования.

Ссылка на комментарий
Поделиться на другие сайты

17 минут назад, safety сказал:

Детект каким продуктом или программой был выполнен? Можете предоставить сэмпл шифровальщика с этим детектом? В архиве с паролем virus, по ссылке на облачный диск в личные сообщения. Если сохранились логи сканирования - добавьте в архиве во вложения или через облачный диск лог сканирования.

Стандартным дефендором. Сэмпл не сохранился, переустановили винду, успел вот только перед переустановкой просканировать и сохранил зашифрованные файлы.

Ссылка на комментарий
Поделиться на другие сайты

Печально.

Без сэмпла не сможем однозначно определить тип шифровальщика.

Эти детекты все были в WinDef?

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn.

По шифровальщикам все важно знать: и сэмпл,  и логи сканирования, и записку о выкупе и зашифрованные файлы. Если хотите расшифровать ваши файлы.

Если это Akira, то она впервые здесь на форуме, значит число активных шифровальщиков, которые атакуют российских пользователей  все время увеличивается.

но, возможно, это был Proton. Если смотреть по этому детекту

Microsoft Ransom:Win64/Akira.CCDR!MTB

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

Kaspersky HEUR:Trojan-Ransom.Win32.Generic

https://www.virustotal.com/gui/file/343716187ae7a3dcd6ebb8677335b9ca43f6552225c505156352d86e44488d33/detection

 

По Proton, к сожалению, расшифровка невозможна без приватного ключа.

ИМенно они практикуют рандомное имя зашифрованного файла + расширение + записка о выкупе

#RansomNoteName.txt

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

26 минут назад, Bandersnatch сказал:

вот только перед переустановкой просканировать

а лог сканирования можете добавить? или под сканированием имеете ввиду логи FRST?

Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, safety сказал:

Печально.

Без сэмпла не сможет однозначно определить тип шифровальщика.

Эти детекты все были в WinDef?

Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn.

По шифровальщикам все важно знать: и сэмпл,  и логи сканирования, и записку о выкупе и зашифрованные файлы. Если хотите расшифровать ваши файлы.

Если это Akira, то она впервые здесь на форуме, значит число активных шифровальщиков, которые атакуют российских пользователей  все время увеличивается.

Детекты да, были в WinDef. Увы, но больше информации не сохранилось, срочно нужно было комп подготовить

1 минуту назад, safety сказал:

а лог сканирования можете добавить? или под сканированием имеете ввиду логи FRST?

Логи FRST

Ссылка на комментарий
Поделиться на другие сайты

Увы, ничем не сможем помочь.

Даже журналы событий не сохранены после переустановки, чтобы проверить причину проникновения злоумышленников.

Все может повториться с атакой шифровальщика через время. Надо делать выводы.

 

Возможно, шифрование было подобным сэмплом. И это модификация Proton.

записка и расширение аналогично вашему случаю.

https://www.virustotal.com/gui/file/30961ede41821c1c7f5b7934b7003c02ab3bdee5e0d8036109685aa8e71ea6e2

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

14 часов назад, safety сказал:

Увы, ничем не сможем помочь.

Спасибо большое за помощь. Вероятность полного отказа от RDP на устройствах, где он есть, поможет восприпятствию подобных случаев? Просто каким либо другим образом, как шифровальщик смог попасть на рабочую станцию, сводится к нулю.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, Bandersnatch сказал:

Вероятность полного отказа от RDP на устройствах, где он есть, поможет восприпятствию подобных случаев?

Если он необходим в работе, зачем же от него отказываться.

просто ограничьте доступ к RDP из внешней сети, предоставьте только тем, кому он нужен, установите надежные пароли, настройте защиту учетных записей от брутфорса, ставьте своевременно обновления системы, по возможности используйте VPN для подключения из внешней сети или только с белого списка ip адресов.

 

Все это перечислено в списке рекомендаций.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

22 минуты назад, safety сказал:

Если он необходим в работе, зачем же от него отказываться.

просто ограничьте доступ к RDP из внешней сети, предоставьте только тем, кому он нужен, установите надежные пароли, настройте защиту учетных записей от брутфорса, ставьте своевременно обновления системы, по возможности используйте VPN для подключения из внешней сети или только с белого списка ip адресов.

 

Все это перечислено в списке рекомендаций.

Ещё раз спасибо за рекомендации и помощь

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

кстати, в репозитарии по ссылке на Proton появились два сэмпла по вашему случаю, хотя данная инфо не поможет расшифровке ваших файлов.

 

Proton/Shinra v2

 

Цитата

40b885a6113325e6d76fc92a9d78e1e6ed8ebf60e741d28b914acf18873f86fe    2024-09-10 18:44:41    mqpoa
30961ede41821c1c7f5b7934b7003c02ab3bdee5e0d8036109685aa8e71ea6e2    2024-09-10 18:44:41    mqpoa

 

 

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

кстати, в репозитарии по ссылке на Proton появились два сэмпла по вашему случаю, хотя данная инфо не поможет расшифровке ваших файлов.

 

Proton/Shinra v2

 

 

 

 

Ну оставлю на всякий случай зашифрованные файлы, возможно в будущем найдется решение, буду периодически посматривать)

Ссылка на комментарий
Поделиться на другие сайты

Да, это верное и лучшее решение. Сохранить важные зашифрованные файлы на отдельный носитель.

Недавно были расшифрованы файлы cry, и прошло 10 лет с момента шифрования.

Иногда и раньше появляется возможность расшифровки, если в доступе появляются приватные ключи.

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Barrrin
      От Barrrin
      CollectionLog-2024.12.28-23.13.zip не знаю что еще описать, просто встроенный антивирус майкрософта нашел троян.
    • cringemachine
      От cringemachine
      Добрый день
       
      Не удается удалить зловред Trojan:Win64/Reflo.HNS!MTB.
      После удаления/лечения Защитником с последующей очисткой Исключений, зловред почти сразу появляется и создает исключения. 
       
      Ай нид хелп
    • Barrrin
      От Barrrin
      Здравствуйте, позавчера компьютер просто выключился с синим экраном смерти, думал проблема в жестком диске, все проверил все хорошо, думал пройдет просто так пошел играть и просто выдало какую то ошибку что файл игры поврежден и потом опять комп выключился. На след день от антивирусника от windows пишет что обнаружен вирус Trojan:Win64/Reflo.HNS!MTB и его удалить не удается. Скачать программу касперского и показало что якобы проблемыы нет, но мне кажется что вирус сидит в оперативной п амяти, т.к плашки абсолютно хорошо работали до вчерашнего дня и вылазки этой проблемы. Помогите пожалуйста решить данную проблему 
      CollectionLog-2024.06.04-18.24.zip
    • ZloyM
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • Shkine
      От Shkine
      Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.


      Addition.txt FRST.txt
×
×
  • Создать...