proxima Куча файлов, даже фильмов, переименована в *.Bpant

[skyinfire]

Здравствуйте.

Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.

Сканирование Касперским (одноразовым) ничего не находит.

Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)

А вот пароль непростой, 20 символов, хоть и словами с регистрами.

Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.

В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Bpant_Help.txt

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

[safety]

Добавьте, пожалуйста, 

несколько зашифрованных файлов в архиве без пароля+ логи FRST (FRST.txt и Addition.txt) согласно правилам.

«Порядок оформления запроса о помощи».

 

Цитата

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Возможно сэмпл самоудалился после завершения шифрования. Нужны логи, чтобы это проверить.

Изменено 22 декабря, 2024 пользователем safety

[skyinfire]

Помощник сделает, сюда пришлет.

 

[safety]

59 минут назад, skyinfire сказал:

Помощник сделает, сюда пришлет.

Помощник или посредник?

[skyinfire]

Помощник, у него доступ.

Вот файлы

 

Addition.txt FRST.txt scoped_dir6536_1417570733.zip

Изменено 22 декабря, 2024 пользователем skyinfire

[safety]

Этот файл проверьте пожалуйста на VT (virustotal.com) и дайте ссылку на результат проверки

Task: {95013749-9703-4B0C-8EA0-757CA990CDBA} - System32\Tasks\Kill-Update => C:\Program Files (x86)\KillUpdate.exe [274952 2020-03-12] (David Le Bansais -> ) [Файл не подписан] <==== ВНИМАНИЕ

 

+

эти файлы заархивируйте с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание здесь.

 

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

 

[skyinfire]

11 часов назад, safety сказал:

C:\Program Files (x86)\KillUpdate.exe

не нашел, где там логи сохранять, но вирусов нет (0/67).

 

А вот тут нашелся вирус в файлах на C:\Users\Гость\

 

Изменено 23 декабря, 2024 пользователем safety
ссылка очищена

[safety]

11 часов назад, safety сказал:

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

запуск майнера
 

Цитата

 

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

 

файлы шифровальщика:

#Proxima / #BlackShadow #Ransomware

https://www.virustotal.com/gui/file/e213168a2ea27791a324d6e2db3f640bd0018970e001ca36e38ddba8fc8d29ed/detection

 

характерный для Proxima запуск шифровальщика через задачу

Цитата

SCHTASKS.exe /Create /RU "NT AUTHORITY\SYSTEM" /sc onstart /TN "Windows Update BETA" /TR "C:\Users\<USER>\Desktop\systems.exe" /F

 

Изменено 23 декабря, 2024 пользователем safety

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\Documents\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\Desktop\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\LocalLow\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\Local\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Downloads\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Documents\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Desktop\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\AppData\Local\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\AppData\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Public\Downloads\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Public\Documents\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\Гость\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\TEMP\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\Public\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\ProgramData\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[skyinfire]

Скрип выполнил.

C:\FRST\Quarantine не архивируется - заблокированы объекты (непонятно кем). Как разблокировать?

Уязвимость нашли, RDP был открыт.

Чем проверить все, что точно не осталось вирусов?

Fixlog.txt

Изменено 24 декабря, 2024 пользователем skyinfire

[safety]

1 час назад, skyinfire сказал:

C:\FRST\Quarantine не архивируется - заблокированы объекты (непонятно кем). Как разблокировать?

Возможно FRST надо закрыть. Или временно отключить антивирусную защиту. может антивирус блокирует.

Сделайте новые логи FRST для контроля.

[skyinfire]

уже перезагружался и 360 снес - не помогает.

потом пришлю, как разберемся.

А что дальше:

1. Чем просканировать и убедиться, что шифровальщик ликвидирован?
2. Как расшифровать файлы?

[safety]

52 минуты назад, skyinfire сказал:

А что дальше:

Чем просканировать и убедиться, что шифровальщик ликвидирован?

1. Можно просканировать KVRT, так как файл шифровальщика детектируется на текущий момент свежими базами.

В данной системе шифровальщик не активен, тело шифровальщика мы вам указали. Скрипт очистки этих тел вы запускали в FRST. Было ли проникновение злоумышленников на другие устройства - откуда они могли бы повторить атаку, это выходит за рамки нашей помощи.

2. Выполнить все рекомендации по устранению уязвимостей, защите учетных записей от брутфорса + другие.

3. С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено 24 декабря, 2024 пользователем safety