Перейти к содержанию

Очень похоже на lockbit 3.0

Jafar_e
 Поделиться

Рекомендуемые сообщения

Jafar_e

Jafar_e

Опубликовано
Опубликовано

Поймали паразита который зашифровал все файлы кроме программ и скриптов. С помощью ПО отловили нахождение.
К компьютеру в был подключен NAS - результат зашифрован весь архив рабочий.
В приложении образцы зашифрованных файлов, зловреда, отчет FRST и письмо счастья, в котом на удивление нет уникального ID и обои не были сменены на рабочем столе.

pass: virus

Mimik.zip

safety

safety

Опубликовано
Опубликовано
3 часа назад, Jafar_e сказал:

и письмо счастья, в котом на удивление нет уникального ID и обои не были сменены на рабочем столе.

Это все может быть настроено через config.json на этапе создания сэмпла шифровлаьщика. Сам сэмпл не нашли? Сканировали систему сканерами?

Jafar_e

Jafar_e

Опубликовано
  • Автор
Опубликовано
3 часа назад, safety сказал:

Это все может быть настроено через config.json на этапе создания сэмпла шифровлаьщика. Сам сэмпл не нашли? Сканировали систему сканерами?

 

Судя по отчетам, осталось только то, что я уже прикреплял в архиве.

Отчет о проверке 2024-12-03 065153.txt kapersky.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Может в этой папке и каталог Build сохранился? :)

C:\USERS\DELL\MUSIC

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено пользователем safety
Jafar_e

Jafar_e

Опубликовано
  • Автор
Опубликовано
30 минут назад, safety сказал:

Может в этой папке и каталог Build сохранился? :)

C:\USERS\DELL\MUSIC

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

увы нет, все что в нем было - прислал в архиве. Там по CMD файлам видно что были exe-шники под 64 и 32 бита, тоже с названием mimik но на момент обнаружения они уже отсутствовали. 
По итогу ось поднимать из резервной копии, а рабочие файлы похоронить?

safety

safety

Опубликовано
Опубликовано (изменено)

В папке Build могли быть файлы, которые генерит билдер при создании сэмпла шифрования, в том числе pub.key и priv.key. Нам было бы достаточно priv.key для того чтобы все расшифровать. Но спустя два года с момента утечки билдера, уже почти никто не делает этого: не генерит сэмпл шифровальщика на машине своей потенциальной жертвы. Делают это на своей стороне.

Mimikatz. так же как и ns.exe - это часть инструментария злоумышленников, чтобы получить пароли к учетным записям для продвижения в ЛС.

 

Важные зашифрованные рабочие документы можно сохранить на будущее, может наступит когда нибудь свет с расшифровкой файлов.

А пока помогут только бэкапы, и восстановление из архивных копий,

+

превентивные меры, чтобы шифрование не повторилось в ближайшем будущем.

 

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ростислав88
      Файлы зашифрованы Trojan.Encoder.31074 (Lockbit 3)
      Автор ростислав88
      Зашифровали файлы на 10 компах. Данные пока такие, попробую собрать больше попой же. 
      Текст требования
       
      И несколько зараженный файлов  в архиве.
       
      Desktop.rar
    • Evgen2454
      Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv
      Автор Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
    • Андрей121
      Шифровальщик Trojan.Encoder.32210 (Lockbit 3) file.4HNnrRWXy
      Автор Андрей121
      Добрый вечер! Обнаружили что 21.06.2023 тихо взломали 2 наших сервера с помощью вируса шифровальщика вроде бы Trojan.Encoder.31074 (Lockbit 3). Обнаружил после того как пользователи начали жаловаться на то что документы не открываются. На сам рабочий стол доступ имелся и было обнаружено что лицензионного антивирусного программного обеспечения kaspersky endpoint security нигде нет. Решил написать пост в данной теме на форуме ( в dr web сразу отказались помочь т.к сказали что это невозможно, только сказали имя шифровальщика). Переписку с вымогателями не вел. Систему не лечил и не чистил. Очень нужна помощь по восстановлению данных.
    • viktor42
      Файлы на компьютере зашифровались расширением KVmxXhJX1
      Автор viktor42
      Файлы на компьютере зашифровались расширением KVmxXhJX1.
      Есть ли вариант расшифровки?
    • Guest239410
      Зашифрованы файлы, помогите расшифровать
      Автор Guest239410
      Добрый день, АРМ был заражен вирусом
       
      помогите расшифровать файлы БД.
×
×
  • Создать...