proxima Поймали шифровальщика на несколько серверов

[LeraB]

Приветствую.
Поймали шифровальщика, который работает до сих.
Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
Все, что можно спасти, копируем.

Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
Шифровальщик затронул большинство нужных файлов, но не все.
Логи собрали с одного сервера, примеры файлов с него же.
Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024

FRST.txt Addition.txt архив.zip

[safety]

Этот процесс надо остановить, если работает диспетчер процессов

() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe

 

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

заархвируйте с паролем virus, добавьте архив в ваше сообщение.

Изменено 12 декабря, 2024 пользователем safety

[safety]

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe
(voidtools -> voidtools) C:\Program Files (x86)\Everything\Everything.exe
2024-12-12 05:09 - 2024-12-12 05:09 - 000003174 _____ C:\Windows\system32\Tasks\Windows Update BETA
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Users\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\ProgramData\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files (x86)\innokentiy_Help.txt
2024-12-12 00:57 - 2024-12-12 00:57 - 000000542 _____ C:\innokentiy_Help.txt
Task: {9D2F5D3E-62D7-4439-9A65-B835579616ED} - System32\Tasks\Windows Update BETA => C:\Users\Public\Pictures\Sample  -> Pictures\x.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Добавьте новые логи FRST для контроля.

[LeraB]

10 минут назад, safety сказал:

Этот процесс надо остановить, если работает диспетчер процессов

() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe

 

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

заархвируйте с паролем virus, добавьте архив в ваше сообщение.

готово

Sample Pictures.rar

[safety]

Скрипт очистки (выше) выполните в системе, так как судя по логам FRST, шифровальщик еще в памяти, (запускается через задачу)

-----------

Цитата

 

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

 

https://www.virustotal.com/gui/file/bdd000f0cd3b6e3e9ef76969407364e5fc87568f3f6f6c0a8f470dfd41087457

ESET-NOD32 A Variant Of Win32/Filecoder.ONI

Судя по данным VT это и есть тело шифровальщика.

Результат его работы:
 

Цитата

 

%USERPROFILE%\Downloads\innokentiy_Help.txt

history.txt.innoken

C:\Windows\System32\cmd.exe /c SCHTASKS.exe /Create /RU NT AUTHORITY\SYSTEM /sc onstart /TN Windows Update BETA /TR C:\Users\<USER>\Downloads\x.vexe.exe /F

 

 

Изменено 12 декабря, 2024 пользователем safety

[LeraB]

17 минут назад, safety сказал:

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe
(voidtools -> voidtools) C:\Program Files (x86)\Everything\Everything.exe
2024-12-12 05:09 - 2024-12-12 05:09 - 000003174 _____ C:\Windows\system32\Tasks\Windows Update BETA
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Users\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\ProgramData\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files (x86)\innokentiy_Help.txt
2024-12-12 00:57 - 2024-12-12 00:57 - 000000542 _____ C:\innokentiy_Help.txt
Task: {9D2F5D3E-62D7-4439-9A65-B835579616ED} - System32\Tasks\Windows Update BETA => C:\Users\Public\Pictures\Sample  -> Pictures\x.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Добавьте новые логи FRST для контроля.

готово
https://disk.yandex.ru/d/E4gXmKS--Bhdhg

Fixlog.txt FRST_new.txt Addition_new.txt

[safety]

Судя по Fixlog.txt очистка прошла успешно.

Задача с запуском файла удалена, если сам файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

сохранился на диске, удалите его вручную.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 12 декабря, 2024 пользователем safety

[LeraB]

Доброго времени суток, получили ключи дешифратора на ос windows и linux
Большая часть этими ключами расшифровалась, но большие файлы поломаны, ничего не помогло
А также выяснили, что какие-то файлы не до конца расшифровываются, расширение становится другим, файл также не доступен
Может это как-то поможет в решении дальнейших проблем
https://disk.yandex.ru/d/vzHaazxHPMgI9Q
А также положили ту да же сам вирус (архив), нашли его тоже

Изменено 18 декабря, 2024 пользователем LeraB

[safety]

Спасибо.

Да, у PROXIMA есть проблемы с расшифровкой больших файлов, но возможно, что вследствие ошибок при шифровании больших файлов, (т. е любой дешифратор уже не сможет корректно расшифровать эти файлы).

 

Можно попробовать расшифровку тех файлов, которые некорректно расшифровываются дешифратором, используя скрипт для Python из данного репозитария:

Скрипт обновлен с учетом, в том числе и вашего расширения.

Цитата

RANSOM_EXTS = [
    '.Hercul',
    '.Dominik',
    '.Elons',
    '.Abram',
    '.Frank',
    '.Funder',
    '.Key2030',
    '.Arthur',
    '.Bpant',
    '.Thomas',
    '.innoken',
    '.RealBer',
]

 

 

Цитата

А также выяснили, что какие-то файлы не до конца расшифровываются, расширение становится другим, файл также не доступен

копии есть у вас проблемных зашифрованных файлов на момент до работы дешифратора?

 

В зашифрованных файлах, которые были корректно расшифрованы в конце по 7 нулей.

 

Изменено 18 декабря, 2024 пользователем safety