mimic/n3wwv43 ransomware Сервер поймал Щифровальщика

[umid 1]

Добрый день!

Поймали шифровальщика. Прошу помощи.

Даже нет предположений откуда его схватили.

Desktop.rar 1Desktop.rar

[safety 131]

пароль напишите к папке 1Desktop

[umid 1]

2 минуты назад, safety сказал:

пароль напишите к папке 1Desktop

1111

[safety 131]

пишите без цитирования. логи сейчас проверю.

[safety 131]

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

 

Start::
HKLM\...\Run: [systemsg.exe] => C:\Users\Зейнаб\AppData\Local\Decrypt_ELPACO-team_info.txt [967 2024-09-21] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-21 09:55 - 2024-09-21 09:55 - 000000967 _____ C:\Users\Зейнаб\Desktop\Decrypt_ELPACO-team_info.txt
2024-09-21 09:50 - 2024-09-21 09:53 - 000000967 _____ C:\Users\Зейнаб\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-09-21 09:49 - 2024-09-21 09:55 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-09-21 09:49 - 2024-09-21 09:49 - 000000000 ____D C:\temp
2024-09-21 10:07 - 2022-08-25 15:15 - 000000000 __SHD C:\Users\Зейнаб\AppData\Local\BFB39C3B-80E3-D2AA-3AB8-6CBE04FD21C7
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

[umid 1]

Fixlog.txt

Изменено 21 сентября пользователем umid

[safety 131]

К сожалению, по данному типу шифровальщика не сможем помочь без приватного ключа.

+

проверьте ЛС.

 

[umid 1]

Скажите пожалуйста, есть ли риск заражения других компьютеров, которые подключались к данному серверу?

[safety 131]

Для ПК с подключением к зашифрованному серверу риска нет, так как процесс шифрования завершен. Обычно злоумышленники запускают консоль с шифрованием, где автоматически могут быть добавлены (некоторые вручную исключены) доступные по сети устройства и шары. После запуска консоли запускается общий процесс шифрования всех добавленных устройств. Либо он полностью завершается, либо останавливается по разным причинам. Другое дело, что злоумышленники если получили доступ в локальную сеть, могут еще некоторое время в ней находиться, и запустить новые процессы шифрования.

 

Уточните, пожалуйста, это легальная задача?

 

Path,Actions,Description,ID
\Hkbsse,Author   D C:\Users\Dom\19e4adb2ae\Hkbsse.exe,,{D1017410-ACEB-4159-BC00-387FE5D21F96}

 

теперь, когда были зашифрованы ваши данные, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

 

Изменено 21 сентября пользователем safety

[umid 1]

28 минут назад, safety сказал:

Уточните, пожалуйста, это легальная задача?

 

Path,Actions,Description,ID
\Hkbsse,Author   D C:\Users\Dom\19e4adb2ae\Hkbsse.exe,,{D1017410-ACEB-4159-BC00-387FE5D21F96}

Если честно даже не в курсе, что это за задача.

[safety 131]

Сделайте, пожалуйста, проверку этого файла на virustotal.com

C:\Users\Dom\19e4adb2ae\Hkbsse.exe

и дайте ссылку здесь на результат проверки

Возможно, что файл является вредоносным

[umid 1]

https://www.virustotal.com/gui/file/e2cb933739c3114c32dbf2c32a4579c01eebaa52b73005fecf7c5f336cd261a2?nocache=1

[safety 131]

 

Цитата

https://www.virustotal.com/gui/file/e2cb933739c3114c32dbf2c32a4579c01eebaa52b73005fecf7c5f336cd261a2?nocache=1

 

Если это стилер, значит  пароли с подключением к серверу могли утечь.

 

ESET-NOD32 A Variant Of Win32/TrojanDownloader.Ama

Kaspersky HEUR:Trojan-Spy.Win32.Stealer.gen

---------------

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

 

Start::
Task: {D1017410-ACEB-4159-BC00-387FE5D21F96} - System32\Tasks\Hkbsse => C:\Users\Dom\19e4adb2ae\Hkbsse.exe [444928 2024-08-15] () [Файл не подписан]
2024-08-31 04:42 - 2024-09-21 05:10 - 000000240 _____ C:\Windows\Tasks\Hkbsse.job
2024-08-31 04:42 - 2024-08-31 04:42 - 000002924 _____ C:\Windows\system32\Tasks\Hkbsse
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\AppData\Roaming\8cadd6e0860cae
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\AppData\Local\PeerDistRepub
2024-08-31 04:42 - 2024-08-31 04:42 - 000000000 ____D C:\Users\Dom\19e4adb2ae
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

 

[umid 1]

Fixlog.txt

[safety 131]

Hkbsse.exe - A Variant Of Win32/TrojanDownloader.Amadey/HEUR:Trojan-Spy.Win32.Stealer.gen

clip64.vdll - A Variant Of Win32/ClipBanker.SJ

cred64.dll - A Variant Of Win64/PSW.Agent.CW/HEUR:Trojan-PSW.Win32.Convagent.gen

 

Очистка завершена.

Изменено 23 сентября пользователем safety