Перейти к содержанию

Шифрование виртуалок и рабочих станций


Рекомендуемые сообщения

Здравствуйте!

 

В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky, подобрать пароль от машин VMWare и зашифровать виртуальные машины, а также содержимое файловых систем.

Файл с требованиями находится внутри архива.

Доступ по RDP есть к этим виртуальным машинам есть. Сейчас отключено RDP.

 

ИИ намекнул, что, возможно, это ALPHV, LockBit или BlackMatter.

 

Прошу помочь в определении шифровальщика и возможность дешифровки.

 

зашифрованные файлы.zip FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Дешифраторы, скаченные по списку с сайта, зря не гоняйте, они не подойдут к любому из перечисленных ИИ вариантов. Скорее всего, это Lockbit, так как группы BlackMatter, ALPHV прекратили свою деятельность, хотя и есть определенное родство в коде Lockbit и BlackMatter. Важнее будет определить какая группа стоит за вариантом Lockbit, которым вас атаковали.

-------

судя по контакту из записки: bncsupport[собака]privacyrequired.com, вариант от этой группы был месяцем ранее на bleepingcomputer.com

Эксперты здесь определяют что данный контакт относится к группе

Цитата

Previously, this group called itself DARKANGELSTEAM.

 

С расшифровкой не сможем помочь.

Без приватного ключа LockbitV3 не расшифровать, и Nomoreransom не поможет, так как подобные группы используют утекший билдер, и соответственно ключи не попадают в оф. группу Lockbit.

 

2 часа назад, CredoLin сказал:

В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky

 

Если есть лицензия на продукт Касперского, возможно следует провести тщательное расследование о причине проникновения злоумышленников в вашу ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

И это важно.

Файл шифровальщика есть в логах

2025-08-05 01:33 - 2025-07-07 00:12 - 000162816 _____ C:\Users\Kaspersky\Documents\LB3.exe

Заархивируйте его с паролем virus, добавьте архив в ваше сообщение.

Цитата

Дешифратор существует на данный момент по Lockbit 3?

Дешифратор существует, т.е. проблема не в нем, а в приватном ключе, который генерируется билдером при каждом его запуске и может быть уникальным в каждой атаке. Шифрование же выполняется публичном ключом. Сэмпл шифрования содержит только публичный ключ.

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Да, это ваш шифровальщик:

Цитата

ransom ext: ".zGAVFbhF5"
ransom note name: "zGAVFbhF5.README.txt"

но мы можем получить из него только публичный ключ pub.key, которым шифровали, а вам для расшифровки нужен приватный ключ priv.key.

priv.key создан на стороне злоумышленников, соответственно только они им владеют.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ВладиславFox
      Автор ВладиславFox
      Звиняюсь за форму подачи информации (это был запрос в поддержку, помощи по которому я жду уже второй день, а сроки горят)
      Если кто то ставил уже ksmg не как отдельную систему (физическую или логическую), а интегрированно в сам почтовый сервер физический/логический (одна и та же ос, без виртуалок, гипервизоров и тд) прошу подсказать.


      Не видит постфикс на шаге интеграции с почтовым сервером
      предлогает только ручную интеграцию (которая не описана в инструкции)

      Пункт инструкции:
      Если Postfix отсутствует в списке доступных почтовых серверов для интеграции, но при этом он установлен на сервере, необходимо вернуть конфигурационный файл /etc/postfix/master.cf в исходное состояние и повторно запустить скрипт первоначальной настройки.

      Проблема в том что мы не изменяли конфигурационный файл.


      (напоминание ос Debian 12, почтовое решение Iredmail, postfix, dovecoat, sogo, nginx, clamav -шли одним установочным комплектом. Требуется чтоб антивирусное решение Касперсокого (KMSG) стояло на том же сервере, в той же системе и защищало почту)
      Выполненые шаги скрипта установки:
      Select web server [1]:
      [1] Nginx
      [2] Abort setup
      > 1

      Setup will use the following web server configuration:
      | type: Nginx
      | config_dir: /etc/nginx
      | config_file: nginx.conf
      | systemd_name: nginx
      | binary_name: /usr/sbin/nginx
      | sites_dir: /etc/nginx/conf.d
      | user: www-data
      Continue setup using this configuration? [1]:
      [1] Continue setup
      [2] Abort setup
      > 1

      Specify IP address of the current node
      The IP address will be used to communicate with other nodes [10.10.0.10]:
      >

      Specify the port number of the current node
      The port number will be used to communicate with other nodes [9045]:
      >

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      >
      Port 443 is already in use.

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      > 445

      Select MTA [1]:
      [1] Manual integration
      Note that by selecting "Manual integration", you will skip automatic integration with an MTA, so you will have to change the MTA configuration files manually.
      > 1

      при запуске всех служб ksmg отключаются все системы удаленного управления cockpit/webmin, так и должно быть ?
      но прописанный в скрипте установке порт веб интерфейса ksmg (в нашем случае 445) ничего не выводит ни удаленно, ни с самого сервера.

      среди ошибок есть что то про лицензию (как и куда прописать код нашей лицензии)

      и все та же проблема что пр установке скрипт, не видит почтового сервера(ПО) postfix, только мануальная интеграция. как говорил ранее мы не меняли конфиг постфикса, он изначально шел комплектом с кучей других пакетов (и они уже интегрированы друг в друга).

      напомню нашу ситуацию
      у нас всего один сервер и одна ос (никаких вирутальных машин, гипервизоров, кластеров)
      и почтовый сервер и ksmg должны стоять на одном и том же сервере и в одной и той же ос.
      setup-250415-102638.log traceback-250415-105029.txt master.txt
    • Богдан_1982
      Автор Богдан_1982
      После установки  виндовс 7 я обнаружил что ярлыки размещены как попало и не упорядочиваются  по логике, как было в ХР.  Я спрашивал как решить проблему в мейл ру, разумеется нечего полезного кроме "нажми упорядочить значки и выбери как тебе надо" я не получил. Тоже самое и в виндовс 10. Да прошло много лет и я опять психанул. зачем мне рабочий стол если на нем нечего не могу найти.
       
      Что б не пояснять, что не правильно я просто сделал скрин где отобразил латиницу красными а кирилицу зелеными, проблем сразу видна.
       
      Надо сделать так, что б было по нормальному. Я уверен с этой проблемой кто то сталкивался и устранил .
       
      Спасибо.

    • FunnyManNDS
      Автор FunnyManNDS
      Здравствуйте! Периодически, при включении пк фризит рабочий стол и любое запущенное приложение! Процессор и видеокарта нагружается до 40% в диспетчере задач
      Конфигурация пк: 
      Процессор: AMD Ryzen 7 7800x3D
      Видеокарта: RTX 4070 Super
      ОЗУ: Gskill trident 32gb - 7200
      Материнская плата: MSI MAG x670E TOMAHAWK WIFI
      SSD M2 Samsung 980 pro (На нём стоит система) 
      SSD M2 Samsung 990 pro
      БП: ChiefTech 850w 80 plus gold
      По температурам комплектующих всё нормально. Полностью чистил все диски, чтобы исключить наличие майнера. Нагрузка возрастает даже с выключенным интернет соединением. Помогает полная перезагрузка ПК. Пожалуйста, накидайте идей, потому что у меня уже руки опускаются
      Прикрепляю текстовый файл сканирования при помощи FarBar
       
      FRST.txt
    • KasatkinMihail
      Автор KasatkinMihail
      Доброго всем дня, в нерабочий день путем взлома RDP зашифровали сервер, поиск подобных случаев не дал результат, на письма по адресам в письме не отвечаю на вопрос сколько денег просят.
       
      ШИФР.rar Logs.rar
    • DarkMeF
      Автор DarkMeF
      Добрый день, подскажите как решить данную проблему. Думал что только на удаленку не заходит. а оказалось командная строка тоже не все команды выполняет(та же ошибка) и службы вообще не открываются
       

×
×
  • Создать...