Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте.

Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.

Сканирование Касперским (одноразовым) ничего не находит.

Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)

А вот пароль непростой, 20 символов, хоть и словами с регистрами.

Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.

В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Bpant_Help.txt

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

Опубликовано (изменено)

Добавьте, пожалуйста, 

несколько зашифрованных файлов в архиве без пароля+ логи FRST (FRST.txt и Addition.txt) согласно правилам.

«Порядок оформления запроса о помощи».

 

Цитата

Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?

Возможно сэмпл самоудалился после завершения шифрования. Нужны логи, чтобы это проверить.

Изменено пользователем safety
Опубликовано
59 минут назад, skyinfire сказал:

Помощник сделает, сюда пришлет.

Помощник или посредник?

Опубликовано

Этот файл проверьте пожалуйста на VT (virustotal.com) и дайте ссылку на результат проверки

Task: {95013749-9703-4B0C-8EA0-757CA990CDBA} - System32\Tasks\Kill-Update => C:\Program Files (x86)\KillUpdate.exe [274952 2020-03-12] (David Le Bansais -> ) [Файл не подписан] <==== ВНИМАНИЕ

 

+

эти файлы заархивируйте с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание здесь.

 

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

 

Опубликовано (изменено)
11 часов назад, safety сказал:

C:\Program Files (x86)\KillUpdate.exe

не нашел, где там логи сохранять, но вирусов нет (0/67).

 

А вот тут нашелся вирус в файлах на C:\Users\Гость\

 

Изменено пользователем safety
ссылка очищена
Опубликовано (изменено)
22.12.2024 в 20:36, safety сказал:

2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip

запуск майнера
 

Цитата

 

2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll

2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe

 

файлы шифровальщика:

#Proxima / #BlackShadow #Ransomware

https://www.virustotal.com/gui/file/e213168a2ea27791a324d6e2db3f640bd0018970e001ca36e38ddba8fc8d29ed/detection

 

image.png

 

характерный для Proxima запуск шифровальщика через задачу

Цитата

SCHTASKS.exe /Create /RU "NT AUTHORITY\SYSTEM" /sc onstart /TN "Windows Update BETA" /TR "C:\Users\<USER>\Desktop\systems.exe" /F

 

Изменено пользователем safety
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-17 22:57 - 2024-07-01 18:09 - 000000132 _____ C:\Users\Гость\Documents\2.bat
2024-12-17 22:57 - 2024-06-17 09:40 - 008223744 _____ (www.xmrig.com) C:\Users\Гость\Documents\xmrig.exe
2024-12-17 22:56 - 2024-09-29 05:25 - 003423433 _____ C:\Users\Гость\Documents\2.zip
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\Documents\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\Desktop\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\LocalLow\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\Local\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Гость\AppData\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Downloads\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Documents\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\Desktop\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\AppData\Local\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\TEMP\AppData\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Public\Downloads\Bpant_Help.txt
2024-12-17 04:36 - 2024-12-17 04:36 - 000000575 _____ C:\Users\Public\Documents\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 17:28 - 025755612 _____ C:\Users\Гость\Documents\mcv.dll
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\Гость\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\TEMP\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\Users\Public\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-17 04:35 - 000000575 _____ C:\ProgramData\Bpant_Help.txt
2024-12-17 04:35 - 2024-12-11 19:50 - 000181248 _____ C:\Users\Гость\Documents\systems.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Опубликовано (изменено)

Скрип выполнил.

C:\FRST\Quarantine не архивируется - заблокированы объекты (непонятно кем). Как разблокировать?

Уязвимость нашли, RDP был открыт.

Чем проверить все, что точно не осталось вирусов?

Fixlog.txt

Изменено пользователем skyinfire
Опубликовано
1 час назад, skyinfire сказал:

C:\FRST\Quarantine не архивируется - заблокированы объекты (непонятно кем). Как разблокировать?

Возможно FRST надо закрыть. Или временно отключить антивирусную защиту. может антивирус блокирует.

Сделайте новые логи FRST для контроля.

Опубликовано

уже перезагружался и 360 снес - не помогает.

потом пришлю, как разберемся.

А что дальше:

1. Чем просканировать и убедиться, что шифровальщик ликвидирован?
2. Как расшифровать файлы?

Опубликовано (изменено)
52 минуты назад, skyinfire сказал:

А что дальше:

Чем просканировать и убедиться, что шифровальщик ликвидирован?

1. Можно просканировать KVRT, так как файл шифровальщика детектируется на текущий момент свежими базами.

В данной системе шифровальщик не активен, тело шифровальщика мы вам указали. Скрипт очистки этих тел вы запускали в FRST. Было ли проникновение злоумышленников на другие устройства - откуда они могли бы повторить атаку, это выходит за рамки нашей помощи.

2. Выполнить все рекомендации по устранению уязвимостей, защите учетных записей от брутфорса + другие.

3. С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено пользователем safety
  • 1 месяц спустя...
Опубликовано

Здравствуйте.

Купил у злоумышлеников ключ, они прислали файл 75 Кб DecryptorBp.zip

Dr/web говорит, что "infected with Trojan.Encoder.41030"

да и остальные тоже:

https://www.virustotal.com/gui/file/38d3cece7373ece4b5f0c68f69d670e8088661625c50d84e537debe55e510dda

 

В инструкции сказано, что 

Important! = ***Take a Full backup of your critical file before use Decryptor***

Disable AV Software Before Use Decryptor

Run As Administrator

Please Do Not close Decryptor untill its job finished (Very important!)

Please dont replay on this email if you have any problems or questions just send new email without replay

 

Что делать? как расшифровать им файлы?

Я думал, что ключ будет нормальный - как длинный набор знаков, типа MD5

Вставлять его в любой нормальный дешифратор и погнали.

У тут не пойми что прислали, как пользоваться не ясно.

Опубликовано (изменено)

Инструкция вполне логичная:

Цитата

Важно! = ***Перед использованием Decryptor сделайте полную резервную копию вашего важного файла***

Пришлите архив с дешифратором. Проверим. Часть файлов могла быть повреждена при шифровании.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Дмитрий ddw
      Автор Дмитрий ddw
      Добрый день! Столкнулся с шифровальщиком. Зашифровались все файлы на сервере. ПОмогите с расшифровкой.
      Spf Ransmoware.txt sfr_sert_prod.cer.EMAIL=[owndecrypt@gmail.com]ID=[16E43E4BAEAA08AF].rar
    • gfond
      Автор gfond
      Здравствуйте. Зашифровали файлы, посмотрите пожалуйста что можно предпринять.
      Заражены в локалке два компьютера одновременно. Рабочая станция послужила источником заражения файлсервера под управлением Win10Pro. 
       Файлсервер после заражения перезагружался несколько раз, файлы вирусы касперским помещены в карантин(могу предоставить), однако шифрование произошло.
      Ниже логи согласно инструкции с файлсервера
       
      Docs_plus_redmeBlackField.zip FRST.txt Addition.txt
    • v0ster
      Автор v0ster
      Здравствуйте. Зашифровали файлы, посмотрите пжлста что можно предпринять.
      Desktop.rar FRST.txt Addition.txt
    • Андрей Ф
      Автор Андрей Ф
      Здравствуйте, дня 4 назад злоумышленники проникли в сеть, зашифровали все сервера ( даже с бэкапами) и пару рабочих станций. расширение файлов BlackFL3
      FRST.txt
      Addition.txt files.zip
    • galant
      Автор galant
      Добрый день, сегодня ночью зашифровали все сервера и виртуалки, а точнее диски где они находились, помогите, бекап, который был не в домене тоже зашифрован. Сеть отключил, где то эта фигня гуляет, т.к. локальный ПК пока один из 20 словил у меня на глазах тот же шифровальщик.BlackFL.zip
      ПОМОГИТЕ! я видимо уволен (
      BlackField-ReadMe.txt
      На сервере стоял лицензионный Касперский, 3 раза уде проверил все диски, ничего не находит!
      в зип архиве шифрованные файлы и требование, требование так же приложил отдельно
×
×
  • Создать...