Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте.

Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.

Сканирование Касперским (одноразовым) ничего не находит.

Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)

А вот пароль непростой, 20 символов, хоть и словами с регистрами.

Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.

В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Bpant_Help.txt

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

Опубликовано (изменено)

Добавьте, пожалуйста, 

несколько зашифрованных файлов в архиве без пароля+ логи FRST (FRST.txt и Addition.txt) согласно правилам.

«Порядок оформления запроса о помощи».

 

Цитата

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Возможно сэмпл самоудалился после завершения шифрования. Нужны логи, чтобы это проверить.

Изменено пользователем safety
Опубликовано
59 минут назад, skyinfire сказал:

Помощник сделает, сюда пришлет.

Помощник или посредник?

Опубликовано

Этот файл проверьте пожалуйста на VT (virustotal.com) и дайте ссылку на результат проверки

Task: {95013749-9703-4B0C-8EA0-757CA990CDBA} - System32\Tasks\Kill-Update => C:\Program Files (x86)\KillUpdate.exe [274952 2020-03-12] (David Le Bansais -> ) [Файл не подписан] <==== ВНИМАНИЕ

 

+

эти файлы заархивируйте с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание здесь.

 

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

 

Опубликовано (изменено)
11 часов назад, safety сказал:

C:\Program Files (x86)\KillUpdate.exe

не нашел, где там логи сохранять, но вирусов нет (0/67).

 

А вот тут нашелся вирус в файлах на C:\Users\Гость\

 

Изменено пользователем safety
ссылка очищена
Опубликовано (изменено)
22.12.2024 в 20:36, safety сказал:

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

запуск майнера
 

Цитата

 

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

 

файлы шифровальщика:

#Proxima / #BlackShadow #Ransomware

https://www.virustotal.com/gui/file/e213168a2ea27791a324d6e2db3f640bd0018970e001ca36e38ddba8fc8d29ed/detection

 

image.png

 

характерный для Proxima запуск шифровальщика через задачу

Цитата

SCHTASKS.exe /Create /RU "NT AUTHORITY\SYSTEM" /sc onstart /TN "Windows Update BETA" /TR "C:\Users\<USER>\Desktop\systems.exe" /F

 

Изменено пользователем safety
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\Documents\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\Desktop\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\LocalLow\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\Local\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Downloads\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Documents\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Desktop\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\AppData\Local\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\AppData\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Public\Downloads\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Public\Documents\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\Гость\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\TEMP\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\Public\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\ProgramData\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Опубликовано (изменено)

Скрип выполнил.

C:\FRST\Quarantine не архивируется - заблокированы объекты (непонятно кем). Как разблокировать?

Уязвимость нашли, RDP был открыт.

Чем проверить все, что точно не осталось вирусов?

Fixlog.txt

Изменено пользователем skyinfire
Опубликовано
1 час назад, skyinfire сказал:

C:\FRST\Quarantine не архивируется - заблокированы объекты (непонятно кем). Как разблокировать?

Возможно FRST надо закрыть. Или временно отключить антивирусную защиту. может антивирус блокирует.

Сделайте новые логи FRST для контроля.

Опубликовано

уже перезагружался и 360 снес - не помогает.

потом пришлю, как разберемся.

А что дальше:

1. Чем просканировать и убедиться, что шифровальщик ликвидирован?
2. Как расшифровать файлы?

Опубликовано (изменено)
52 минуты назад, skyinfire сказал:

А что дальше:

Чем просканировать и убедиться, что шифровальщик ликвидирован?

1. Можно просканировать KVRT, так как файл шифровальщика детектируется на текущий момент свежими базами.

В данной системе шифровальщик не активен, тело шифровальщика мы вам указали. Скрипт очистки этих тел вы запускали в FRST. Было ли проникновение злоумышленников на другие устройства - откуда они могли бы повторить атаку, это выходит за рамки нашей помощи.

2. Выполнить все рекомендации по устранению уязвимостей, защите учетных записей от брутфорса + другие.

3. С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено пользователем safety
  • 1 месяц спустя...
Опубликовано

Здравствуйте.

Купил у злоумышлеников ключ, они прислали файл 75 Кб DecryptorBp.zip

Dr/web говорит, что "infected with Trojan.Encoder.41030"

да и остальные тоже:

https://www.virustotal.com/gui/file/38d3cece7373ece4b5f0c68f69d670e8088661625c50d84e537debe55e510dda

 

В инструкции сказано, что 

Important! = ***Take a Full backup of your critical file before use Decryptor***

Disable AV Software Before Use Decryptor

Run As Administrator

Please Do Not close Decryptor untill its job finished (Very important!)

Please dont replay on this email if you have any problems or questions just send new email without replay

 

Что делать? как расшифровать им файлы?

Я думал, что ключ будет нормальный - как длинный набор знаков, типа MD5

Вставлять его в любой нормальный дешифратор и погнали.

У тут не пойми что прислали, как пользоваться не ясно.

Опубликовано (изменено)

Инструкция вполне логичная:

Цитата

Важно! = ***Перед использованием Decryptor сделайте полную резервную копию вашего важного файла***

Пришлите архив с дешифратором. Проверим. Часть файлов могла быть повреждена при шифровании.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • XromoV1K
      Автор XromoV1K
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. Некоторые удалить получилось, остальные не поддаются
      CollectionLog-2025.07.19-22.17.zipAddition.txt 
      FRST.txt
       
      в центре обновления windows пишет: что-то пошло не так.
      устранение неполадок не грузит постоянно пишет: проверка наличие отложенного перезапуска и так бесконечно 
    • Ekaterinaa
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
    • AbzalRai
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • Орион
      Автор Орион
      Так, вроде все понятливо
      Я вчера смотрел Мгла =(
      Банальный фильм, похожий на все остальные!
    • Ярослав1_1
      Автор Ярослав1_1
      CollectionLog-2025.07.16-13.18.zipВот лог, надеюсь чир сможете помочь
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
      Похожая проблема 
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
×
×
  • Создать...