Перейти к содержанию

Предположительно Lockbit зашифровал файлы

Nibug
 Поделиться

Рекомендуемые сообщения

Nibug

Nibug

Опубликовано
Опубликовано

KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Компьютерная помощь".

Nibug

Nibug

Опубликовано
  • Автор
Опубликовано
1 час назад, Nibug сказал:

KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Компьютерная помощь".

 

Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Этот файл C:\sed.exe

нашли на зашифрованных ПК?

он копировался с домена:

COPY /Y \\[DOMAIN]\SYSVOL\[DOMAIN]\scripts\sed.exe C:\sed.exe

 

Злоумышленники добавили свою учетную запись в группу Администраторы.

Цитата

net user admin123 "QweQwe1@" /add
net localgroup Администраторы admin123 /add

 

Дешифраторы, которых вы скачали здесь более десятка, увы, не помогут с расшифровкой.

 

Так понимаю, что записку о выкупе вам не оставили. Следует, что цель злоумышленников была уничтожение данных, без возможности расшифровать их.

 

Цитата

Утилиты касперского не могут определить тип шифра

Если сканировали устройства с помощью KVRT

2025-05-11 13:54 - 2025-05-11 15:19 - 000000000 ____D C:\KVRT2020_Data
2025-05-11 13:53 - 2025-05-11 13:54 - 114537320 _____ (AO Kaspersky Lab) C:\Users\oit\Downloads\KVRT.exe

Добавьте, пожалуйста, в архиве без пароля папку Reports из каталога C:\KVRT2020_Data

 

По детектам Касперского это может быть:

HEUR:Trojan-Ransom.Win32.Generic

https://www.virustotal.com/gui/file/535e0dbd97cb9ea66f375400b550dd3bcad0788a89fb46996a651053a2df07c3/detection

+

вопрос:

Была ли установлена антивирусная защита (кроме WinDef) на устройствах, которые были зашифрованы?

 

По параметрам шифрования:

      "encrypt_filename": true,   && шифруются имена файлов

      "note": ""                            && текст записки о выкупе пустой, значит файл записки о выкупе не создается.

 

Если был в параметре note был текст, то был бы файл записки о выкупе в виде:

S8fyxRJUX.README.txt

 

Здесь, очевидно, сводный результат по всем зашифрованным устройствам.

Цитата

tasklist | findstr "sed.exe" && echo "[+] %COMPUTERNAME%" >> \\[DOMAIN]\SYSVOL\[DOMAIN]\scripts\result.bat

 

 

 

 

Изменено пользователем safety
Nibug

Nibug

Опубликовано
  • Автор
Опубликовано

Давайте по порядку 

1. файл sed.exe нашли на устройствах, занимаемся уничтожением 

2. учетную запись admin123 тоже убираем везде 

3. Репорт с кврт приложил 

4. антивирусная защита везде была Касперский 

 

Reports.rar

safety

safety

Опубликовано
Опубликовано (изменено)

1. Хэши sed.exe должны совпадать с этими:

Цитата

MD5
39b91f5dfbbec13a3ec7cce670cf69ad
SHA-1
19ec859708e58b1275ee1bdb48aa1966757266d0
SHA-256
535e0dbd97cb9ea66f375400b550dd3bcad0788a89fb46996a651053a2df07c3

 

3. отчеты KVRT гляну немного позже, нет под рукой сейчас декриптора логов, но должен быть детект, если при запуске KVRT на дисках был sed.exe.
 
Цитата

        <Block0 Type="Scan" Processed="514014" Found="1" Neutralized="1">
            <Event0 Action="Scan" Time="133914396176854345" Object="" Info="Started" />
            <Event1 Action="Detect" Time="133914403111636820" Object="C:\sed.exe" Info="HEUR:Trojan-Ransom.Win32.Generic" />
            <Event2 Action="Scan" Time="133914414287982894" Object="" Info="Finished" />
            <Event3 Action="Select action" Time="133914428871675809" Object="C:\sed.exe" Info="Delete" />
            <Event4 Action="Disinfection" Time="133914428871675809" Object="" Info="Started" />
            <Event5 Action="Quarantined" Time="133914428871832125" Object="C:\sed.exe" Info="" />
            <Event6 Action="Deleted" Time="133914428871832125" Object="C:\sed.exe" Info="" />
            <Event7 Action="Disinfection" Time="133914428874331783" Object="" Info="Finished" />
        </Block0>

 

 
4. В логах антивирусов на клиентах есть отключение защиты на момент шифрования? Установлена корпоративная версия? С консолью управления?
 
5. ПК, которые подключались к DC наверняка были атакованы. Если кто-то выключил устройство в момент атаки, лучше проверить с помощью загрузочного KRD.
Изменено пользователем safety
Nibug

Nibug

Опубликовано
  • Автор
Опубликовано
3 часа назад, safety сказал:

1. Хэши sed.exe должны совпадать с этими:

 

3. отчеты KVRT гляну немного позже, нет под рукой сейчас декриптора логов, но должен быть детект, если при запуске KVRT на дисках был sed.exe.
 

 

 
4. В логах антивирусов на клиентах есть отключение защиты на момент шифрования? Установлена корпоративная версия? С консолью управления?
 
5. ПК, которые подключались к DC наверняка были атакованы. Если кто-то выключил устройство в момент атаки, лучше проверить с помощью загрузочного KRD.

4. Пока что нет возможности посмотреть логи на момент шифрования. Установлена корпоративная, с консолью управления

safety

safety

Опубликовано
Опубликовано
1 час назад, Nibug сказал:

4. Пока что нет возможности посмотреть логи на момент шифрования. Установлена корпоративная, с консолью управления

При включенной защите шифровальщик должен быть удален. Этот файл не менялся как минимум год.

Nibug

Nibug

Опубликовано
  • Автор
Опубликовано

Не прибегая к логам (потому что, на данный момент нет доступа) можно предположить, что они отрубали защиту касперского через созданную учетку admin123?

safety

safety

Опубликовано
Опубликовано

Лучше все таки проверить по логам.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • TonHaw
      Зашифровали с помощью LockBit black
      Автор TonHaw
      Здравствуйте. Зашифровали несколько серверов шифровальщиком LockBitBlack. Бэкапы тоже зашифрованы
      Зашифровали за выходные, утром на принтерах были листовки о выкупе (есть во вложении)
      virus.zip
    • Сергей Клюхинов
      Зашифрованы файлы, предположительно LockBit 3.0 Black/CriptomanGizmo
      Автор Сергей Клюхинов
      Зашифрованы файлы.
      Если есть идеи о способе расшифровки - прошу помощи.
      files.zip cFTZZMrfx.README.txt
    • copypaste
      Шифровальщик. Предположительно из семейства Dharma/Crysis
      Автор copypaste
      Доброго дня. 
       
      Коснулась напасть сия.
      Шифровщика по окончанию злодеяния нет. 
      Во вложении:
      1. Логи FRST
      2. Результат проверки KVRT
      3. Пример зашифрованных файлов + KEY файл и письмо Decryption
       
      Спасибо заранее за уделенное время.
      crypt.rar FRST.rar KVRT2020_Data.rar
    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • progig
      Зашифровались все файлы кроме txt
      Автор progig
      Доброго времени суток 30.07 все ПК сети введенные  в домен одновременно перезагрузились. Виндовс больше не запустился, все остановилось на "восстановлении системы". Система не восстанавливалась, у некоторых ПК диски вовсе упали в RAW. Поверх был установлен виндовс, но старые файлы пользователей так и не открылись( у всех файлов(кроме .txt, которые открываются) одна и та же дата/время изменения файла с минутной разницей). Файл FRST сделан из под командной строки "восстановления системы". Файл Addition не формируется. Записки о выкупе не обнаружено.
      Прикрепляю файл FRST и зашифрованные файлы. FRST.rarзашифрованные файлы.rar
×
×
  • Создать...