proxima Куча файлов, даже фильмов, переименована в *.Bpant

[skyinfire]

Здравствуйте.

Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.

Сканирование Касперским (одноразовым) ничего не находит.

Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)

А вот пароль непростой, 20 символов, хоть и словами с регистрами.

Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.

В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Bpant_Help.txtFetching info...

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

[safety]

Добавьте, пожалуйста, 

несколько зашифрованных файлов в архиве без пароля+ логи FRST (FRST.txt и Addition.txt) согласно правилам.

«Порядок оформления запроса о помощи».

 

  Цитата

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Expand  

Возможно сэмпл самоудалился после завершения шифрования. Нужны логи, чтобы это проверить.

Изменено 22 декабря, 2024 пользователем safety

[skyinfire]

Помощник сделает, сюда пришлет.

 

[safety]

  On 22.12.2024 at 10:13, skyinfire said:

Помощник сделает, сюда пришлет.

Expand  

Помощник или посредник?

[skyinfire]

Помощник, у него доступ.

Вот файлы

 

Addition.txtFetching info... FRST.txtFetching info... scoped_dir6536_1417570733.zipFetching info...

Изменено 22 декабря, 2024 пользователем skyinfire

[safety]

Этот файл проверьте пожалуйста на VT (virustotal.com) и дайте ссылку на результат проверки

Task: {95013749-9703-4B0C-8EA0-757CA990CDBA} - System32\Tasks\Kill-Update => C:\Program Files (x86)\KillUpdate.exe [274952 2020-03-12] (David Le Bansais -> ) [Файл не подписан] <==== ВНИМАНИЕ

 

+

эти файлы заархивируйте с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание здесь.

 

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

 

[skyinfire]

  On 22.12.2024 at 13:36, safety said:

C:\Program Files (x86)\KillUpdate.exe

Expand  

не нашел, где там логи сохранять, но вирусов нет (0/67).

 

А вот тут нашелся вирус в файлах на C:\Users\Гость\

 

Изменено 23 декабря, 2024 пользователем safety
ссылка очищена

[safety]

  On 22.12.2024 at 13:36, safety said:

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

Expand  

запуск майнера
 

  Цитата

 

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

 

Expand  

файлы шифровальщика:

#Proxima / #BlackShadow #Ransomware

https://www.virustotal.com/gui/file/e213168a2ea27791a324d6e2db3f640bd0018970e001ca36e38ddba8fc8d29ed/detection

 

 

характерный для Proxima запуск шифровальщика через задачу

  Цитата

SCHTASKS.exe /Create /RU "NT AUTHORITY\SYSTEM" /sc onstart /TN "Windows Update BETA" /TR "C:\Users\<USER>\Desktop\systems.exe" /F

Expand  

 

Изменено 18 февраля пользователем safety

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\Documents\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\Desktop\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\LocalLow\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\Local\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Downloads\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Documents\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Desktop\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\AppData\Local\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\AppData\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Public\Downloads\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Public\Documents\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\Гость\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\TEMP\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\Public\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\ProgramData\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[skyinfire]

Скрип выполнил.

C:\FRST\Quarantine не архивируется - заблокированы объекты (непонятно кем). Как разблокировать?

Уязвимость нашли, RDP был открыт.

Чем проверить все, что точно не осталось вирусов?

Fixlog.txtFetching info...

Изменено 24 декабря, 2024 пользователем skyinfire

[safety]

  On 24.12.2024 at 09:19, skyinfire said:

C:\FRST\Quarantine не архивируется - заблокированы объекты (непонятно кем). Как разблокировать?

Expand  

Возможно FRST надо закрыть. Или временно отключить антивирусную защиту. может антивирус блокирует.

Сделайте новые логи FRST для контроля.

[skyinfire]

уже перезагружался и 360 снес - не помогает.

потом пришлю, как разберемся.

А что дальше:

1. Чем просканировать и убедиться, что шифровальщик ликвидирован?
2. Как расшифровать файлы?

[safety]

  On 24.12.2024 at 12:00, skyinfire said:

А что дальше:

Чем просканировать и убедиться, что шифровальщик ликвидирован?

Expand  

1. Можно просканировать KVRT, так как файл шифровальщика детектируется на текущий момент свежими базами.

В данной системе шифровальщик не активен, тело шифровальщика мы вам указали. Скрипт очистки этих тел вы запускали в FRST. Было ли проникновение злоумышленников на другие устройства - откуда они могли бы повторить атаку, это выходит за рамки нашей помощи.

2. Выполнить все рекомендации по устранению уязвимостей, защите учетных записей от брутфорса + другие.

3. С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено 24 декабря, 2024 пользователем safety

[skyinfire]

Здравствуйте.

Купил у злоумышлеников ключ, они прислали файл 75 Кб DecryptorBp.zip

Dr/web говорит, что "infected with Trojan.Encoder.41030"

да и остальные тоже:

https://www.virustotal.com/gui/file/38d3cece7373ece4b5f0c68f69d670e8088661625c50d84e537debe55e510dda

 

В инструкции сказано, что 

Important! = ***Take a Full backup of your critical file before use Decryptor***

Disable AV Software Before Use Decryptor

Run As Administrator

Please Do Not close Decryptor untill its job finished (Very important!)

Please dont replay on this email if you have any problems or questions just send new email without replay

 

Что делать? как расшифровать им файлы?

Я думал, что ключ будет нормальный - как длинный набор знаков, типа MD5

Вставлять его в любой нормальный дешифратор и погнали.

У тут не пойми что прислали, как пользоваться не ясно.

[safety]

Инструкция вполне логичная:

  Цитата

Важно! = ***Перед использованием Decryptor сделайте полную резервную копию вашего важного файла***

Expand  

Пришлите архив с дешифратором. Проверим. Часть файлов могла быть повреждена при шифровании.

Изменено 10 февраля пользователем safety