Перейти к содержанию

King зашифровал файлы организации


Рекомендуемые сообщения

 

Добрый день!

В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.

К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar


Подскажите пож-та 
1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
2. Как можно дешифровать  данные файлы 

 

Спасибо большое!

Ссылка на комментарий
Поделиться на другие сайты

По логам FRST не увидел следов шифрования. Ни зашифрованных файлов, ни записок о выкупе нет в логах, кроме логов работы дешифраторов, которые запускались очевидно все подряд. Это не поможет. Вначале надо определить тип шифровальщика. А затем уже искать подходящий дешифратор если он есть в природе.

 

Возможно запуск был на другом устройстве, а на этом были зашифрованы только общие папки.

----------

Шифрование было только на этом устройстве, или на других тоже есть?

Источник шифрования надо искать там, где файлы зашифрованы по всему диску, а не только в расшаренных папках.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, safety сказал:

@Лариса B,

создайте отдельную тему в данном разделе с примером зашифрованных файлов, с запиской о выкупе, с логами FRST.

Отвечу в ней на все ваши вопросы. Таковы наши правила: для каждого случая с шифрованием - отдельная тема.

Сорри, прикладываю  

В локальной сети,  несколько серверов. Есть расшаренные папки, к которым сотрудники  могут получить доступ по smb. 

 

Addition.rar

 

 

вот что еще удалось найти  

Downloads.rar

Изменено пользователем Лариса B
Ссылка на комментарий
Поделиться на другие сайты

На этот устройстве (откуда логи из архива Addition.rar, точно был запуск шифровальщика.

обращаю внимание, что сэмпл шифровальщика мог быть заражен вирусом Neshta, поэтому после очистки в FRST, следует так же его пролечить с помощью KasperskyRescueDisk

 

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Avaya IX Workplace] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: king_ransom1@mailfence.com
2024-12-28 00:43 - 2024-12-28 00:43 - 006052662 _____ C:\ProgramData\9A91446B62C6B29442333ACAE9008B6E.bmp
2024-12-27 23:37 - 2024-12-28 16:41 - 000041472 _____ C:\Windows\svchost.com
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\Downloads\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\Documents\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\Desktop\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\AppData\Local\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\Downloads\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\Documents\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\Desktop\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\AppData\Roaming\Microsoft\Windows\Start Menu\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\AppData\Local\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\user.308-8\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\Downloads\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\Documents\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\Desktop\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\Public\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Users\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\ProgramData\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Program Files\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\Program Files (x86)\#Read-for-recovery.txt
2024-12-27 23:37 - 2024-12-27 23:37 - 000000390 _____ C:\#Read-for-recovery.txt
2024-12-27 23:35 - 2024-12-27 23:37 - 000000000 ____D C:\Users\user.308-8\Desktop\x64-Release
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

готово 

 

ссылка удалена, файл скчал.

Fixlog.txt

Изменено пользователем safety
файл загружен, ссылка удалена
Ссылка на комментарий
Поделиться на другие сайты

Да, это Proton.

image.png

Сэмпл заражен Neshta,

https://virusscan.jotti.org/ru-RU/filescanjob/jmniykqvac

поэтому необходимо пролечить систему с загрузочного KRD, ссылка на скачивание образа диска дал выше.

Это сэмпл, очищенный от Neshta.

Видим, что это действительно Proton

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

https://www.virustotal.com/gui/file/6f7c8adc0cb4be82c2724f6831398a39654e62e6f13a0667f7522e5d96fdccee/details

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Проверьте ЛС.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

6 часов назад, Игнат Т. сказал:

Получилось ли расшифровать?

Если столкнулись с данным шифровальщиком, создайте отдельную тему в данном разделе.

Добавьте все необходимые файлы и логи.

(Несколько зашифрованных файлов + записка о выкупе + логи FRST (FRST.txt и Addition.txt)

Читаем порядок оформления запроса о помощи.

Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • tata10
      Автор tata10
      Новички_ 8   Здравствуйте! В локальную сеть организации попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>.[king_ransom1@mailfence.com].king
      Можно ли как нибудь помочь нам.
      Спасибо большое!
      Зашифрованные файлы и Письмо.zip FRST.txt Addition.txt
    • hobbit86
      Автор hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • Jutr
      Автор Jutr
      FRST.txtAddition.txt#Read-for-recovery.txtDes.zip
      Добрый день! Словили шифровальщика все файлы с расширением [king_ransom1@mailfence.com].king, подскажите пожалуйста, как-то можно расшифровать?
    • timmonn
      Автор timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
    • Andrey_ka
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
×
×
  • Создать...