proxima Куча файлов, даже фильмов, переименована в *.Bpant

22 декабря, 2024

Здравствуйте.

Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.

Сканирование Касперским (одноразовым) ничего не находит.

Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)

А вот пароль непростой, 20 символов, хоть и словами с регистрами.

Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.

В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Bpant_Help.txt

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

22 декабря, 2024

Добавьте, пожалуйста,

несколько зашифрованных файлов в архиве без пароля+ логи FRST (FRST.txt и Addition.txt) согласно правилам.

«Порядок оформления запроса о помощи».

Цитата

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Возможно сэмпл самоудалился после завершения шифрования. Нужны логи, чтобы это проверить.

Изменено 22 декабря, 2024 пользователем safety

22 декабря, 2024

Помощник сделает, сюда пришлет.

22 декабря, 2024

59 минут назад, skyinfire сказал:

Помощник сделает, сюда пришлет.

Помощник или посредник?

22 декабря, 2024

Помощник, у него доступ.

Вот файлы

Addition.txt FRST.txt scoped_dir6536_1417570733.zip

Изменено 22 декабря, 2024 пользователем skyinfire

22 декабря, 2024

Этот файл проверьте пожалуйста на VT (virustotal.com) и дайте ссылку на результат проверки

Task: {95013749-9703-4B0C-8EA0-757CA990CDBA} - System32\Tasks\Kill-Update => C:\Program Files (x86)\KillUpdate.exe [274952 2020-03-12] (David Le Bansais -> ) [Файл не подписан] <==== ВНИМАНИЕ

+

эти файлы заархивируйте с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание здесь.

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

22 декабря, 2024

11 часов назад, safety сказал:

C:\Program Files (x86)\KillUpdate.exe

не нашел, где там логи сохранять, но вирусов нет (0/67).

А вот тут нашелся вирус в файлах на C:\Users\Гость\

Изменено 23 декабря, 2024 пользователем safety
ссылка очищена

23 декабря, 2024

22.12.2024 в 20:36, safety сказал:

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

запуск майнера

Цитата

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

файлы шифровальщика:

#Proxima / #BlackShadow #Ransomware

https://www.virustotal.com/gui/file/e213168a2ea27791a324d6e2db3f640bd0018970e001ca36e38ddba8fc8d29ed/detection

характерный для Proxima запуск шифровальщика через задачу

Цитата

SCHTASKS.exe /Create /RU "NT AUTHORITY\SYSTEM" /sc onstart /TN "Windows Update BETA" /TR "C:\Users\<USER>\Desktop\systems.exe" /F

Изменено 18 февраля пользователем safety

23 декабря, 2024

По очистке системы в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\Documents\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\Desktop\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\LocalLow\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\Local\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Downloads\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Documents\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Desktop\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\AppData\Local\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\AppData\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Public\Downloads\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Public\Documents\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\Гость\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\TEMP\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\Public\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\ProgramData\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

24 декабря, 2024

Скрип выполнил.

C:\FRST\Quarantine не архивируется - заблокированы объекты (непонятно кем). Как разблокировать?

Уязвимость нашли, RDP был открыт.

Чем проверить все, что точно не осталось вирусов?

Fixlog.txt

Изменено 24 декабря, 2024 пользователем skyinfire

24 декабря, 2024

1 час назад, skyinfire сказал:

C:\FRST\Quarantine не архивируется - заблокированы объекты (непонятно кем). Как разблокировать?

Возможно FRST надо закрыть. Или временно отключить антивирусную защиту. может антивирус блокирует.

Сделайте новые логи FRST для контроля.

24 декабря, 2024

уже перезагружался и 360 снес - не помогает.

потом пришлю, как разберемся.

А что дальше:

1. Чем просканировать и убедиться, что шифровальщик ликвидирован?
2. Как расшифровать файлы?

24 декабря, 2024

52 минуты назад, skyinfire сказал:

А что дальше:

Чем просканировать и убедиться, что шифровальщик ликвидирован?

1. Можно просканировать KVRT, так как файл шифровальщика детектируется на текущий момент свежими базами.

В данной системе шифровальщик не активен, тело шифровальщика мы вам указали. Скрипт очистки этих тел вы запускали в FRST. Было ли проникновение злоумышленников на другие устройства - откуда они могли бы повторить атаку, это выходит за рамки нашей помощи.

2. Выполнить все рекомендации по устранению уязвимостей, защите учетных записей от брутфорса + другие.

3. С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено 24 декабря, 2024 пользователем safety

9 февраля

Здравствуйте.

Купил у злоумышлеников ключ, они прислали файл 75 Кб DecryptorBp.zip

Dr/web говорит, что "infected with Trojan.Encoder.41030"

да и остальные тоже:

https://www.virustotal.com/gui/file/38d3cece7373ece4b5f0c68f69d670e8088661625c50d84e537debe55e510dda

В инструкции сказано, что

Important! = ***Take a Full backup of your critical file before use Decryptor***

Disable AV Software Before Use Decryptor

Run As Administrator

Please Do Not close Decryptor untill its job finished (Very important!)

Please dont replay on this email if you have any problems or questions just send new email without replay

Что делать? как расшифровать им файлы?

Я думал, что ключ будет нормальный - как длинный набор знаков, типа MD5

Вставлять его в любой нормальный дешифратор и погнали.

У тут не пойми что прислали, как пользоваться не ясно.

10 февраля

Инструкция вполне логичная:

Цитата

Важно! = ***Перед использованием Decryptor сделайте полную резервную копию вашего важного файла***

Пришлите архив с дешифратором. Проверим. Часть файлов могла быть повреждена при шифровании.

Изменено 10 февраля пользователем safety

proxima Куча файлов, даже фильмов, переименована в *.Bpant

Рекомендуемые сообщения

skyinfire

safety

skyinfire

safety

skyinfire

safety

skyinfire

safety

safety

skyinfire

safety

skyinfire

safety

skyinfire

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum