proxima Поймали шифровальщика на несколько серверов

12 декабря, 2024

Приветствую.
Поймали шифровальщика, который работает до сих.
Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
Все, что можно спасти, копируем.

Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
Шифровальщик затронул большинство нужных файлов, но не все.
Логи собрали с одного сервера, примеры файлов с него же.
Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024

FRST.txt Addition.txt архив.zip

12 декабря, 2024

Этот процесс надо остановить, если работает диспетчер процессов

() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

заархвируйте с паролем virus, добавьте архив в ваше сообщение.

Изменено 12 декабря, 2024 пользователем safety

12 декабря, 2024

Выполните очистку системы в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe
(voidtools -> voidtools) C:\Program Files (x86)\Everything\Everything.exe
2024-12-12 05:09 - 2024-12-12 05:09 - 000003174 _____ C:\Windows\system32\Tasks\Windows Update BETA
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Users\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\ProgramData\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files (x86)\innokentiy_Help.txt
2024-12-12 00:57 - 2024-12-12 00:57 - 000000542 _____ C:\innokentiy_Help.txt
Task: {9D2F5D3E-62D7-4439-9A65-B835579616ED} - System32\Tasks\Windows Update BETA => C:\Users\Public\Pictures\Sample  -> Pictures\x.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Добавьте новые логи FRST для контроля.

12 декабря, 2024

10 минут назад, safety сказал:

Этот процесс надо остановить, если работает диспетчер процессов

() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

заархвируйте с паролем virus, добавьте архив в ваше сообщение.

готово

Sample Pictures.rar

12 декабря, 2024

Скрипт очистки (выше) выполните в системе, так как судя по логам FRST, шифровальщик еще в памяти, (запускается через задачу)

-----------

Цитата

Этот файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

https://www.virustotal.com/gui/file/bdd000f0cd3b6e3e9ef76969407364e5fc87568f3f6f6c0a8f470dfd41087457

ESET-NOD32 A Variant Of Win32/Filecoder.ONI

Судя по данным VT это и есть тело шифровальщика.

Результат его работы:

Цитата

%USERPROFILE%\Downloads\innokentiy_Help.txt

history.txt.innoken

C:\Windows\System32\cmd.exe /c SCHTASKS.exe /Create /RU NT AUTHORITY\SYSTEM /sc onstart /TN Windows Update BETA /TR C:\Users\<USER>\Downloads\x.vexe.exe /F

Изменено 12 декабря, 2024 пользователем safety

12 декабря, 2024

17 минут назад, safety сказал:
Выполните очистку системы в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы
Start::
() [Файл не подписан] C:\Users\Public\Pictures\Sample Pictures\x.exe
(voidtools -> voidtools) C:\Program Files (x86)\Everything\Everything.exe
2024-12-12 05:09 - 2024-12-12 05:09 - 000003174 _____ C:\Windows\system32\Tasks\Windows Update BETA
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Users\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\ProgramData\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files\innokentiy_Help.txt
2024-12-12 04:44 - 2024-12-12 04:44 - 000000542 _____ C:\Program Files (x86)\innokentiy_Help.txt
2024-12-12 00:57 - 2024-12-12 00:57 - 000000542 _____ C:\innokentiy_Help.txt
Task: {9D2F5D3E-62D7-4439-9A65-B835579616ED} - System32\Tasks\Windows Update BETA => C:\Users\Public\Pictures\Sample  -> Pictures\x.exe
Reboot::
End::
После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Добавьте новые логи FRST для контроля.

готово
https://disk.yandex.ru/d/E4gXmKS--Bhdhg

Fixlog.txt FRST_new.txt Addition_new.txt

12 декабря, 2024

Судя по Fixlog.txt очистка прошла успешно.

Задача с запуском файла удалена, если сам файл

C:\Users\Public\Pictures\Sample Pictures\x.exe

сохранился на диске, удалите его вручную.

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 12 декабря, 2024 пользователем safety

18 декабря, 2024

Доброго времени суток, получили ключи дешифратора на ос windows и linux
Большая часть этими ключами расшифровалась, но большие файлы поломаны, ничего не помогло
А также выяснили, что какие-то файлы не до конца расшифровываются, расширение становится другим, файл также не доступен
Может это как-то поможет в решении дальнейших проблем
https://disk.yandex.ru/d/vzHaazxHPMgI9Q
А также положили ту да же сам вирус (архив), нашли его тоже

Изменено 18 декабря, 2024 пользователем LeraB

18 декабря, 2024

Спасибо.

Да, у PROXIMA есть проблемы с расшифровкой больших файлов, но возможно, что вследствие ошибок при шифровании больших файлов, (т. е любой дешифратор уже не сможет корректно расшифровать эти файлы).

Можно попробовать расшифровку тех файлов, которые некорректно расшифровываются дешифратором, используя скрипт для Python из данного репозитария:

Скрипт обновлен с учетом, в том числе и вашего расширения.

Цитата

RANSOM_EXTS = [
    '.Hercul',
    '.Dominik',
    '.Elons',
    '.Abram',
    '.Frank',
    '.Funder',
    '.Key2030',
    '.Arthur',
    '.Bpant',
    '.Thomas',
    '.innoken',
    '.RealBer',
]

Цитата

А также выяснили, что какие-то файлы не до конца расшифровываются, расширение становится другим, файл также не доступен

копии есть у вас проблемных зашифрованных файлов на момент до работы дешифратора?

В зашифрованных файлах, которые были корректно расшифрованы в конце по 7 нулей.

Изменено 18 декабря, 2024 пользователем safety

proxima Поймали шифровальщика на несколько серверов

Рекомендуемые сообщения

LeraB

safety

safety

LeraB

safety

LeraB

safety

LeraB

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum