Перейти к содержанию

Шифрование виртуалок и рабочих станций

CredoLin
 Поделиться

Рекомендуемые сообщения

CredoLin

CredoLin

Опубликовано
Опубликовано

Здравствуйте!

 

В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky, подобрать пароль от машин VMWare и зашифровать виртуальные машины, а также содержимое файловых систем.

Файл с требованиями находится внутри архива.

Доступ по RDP есть к этим виртуальным машинам есть. Сейчас отключено RDP.

 

ИИ намекнул, что, возможно, это ALPHV, LockBit или BlackMatter.

 

Прошу помочь в определении шифровальщика и возможность дешифровки.

 

зашифрованные файлы.zip FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Дешифраторы, скаченные по списку с сайта, зря не гоняйте, они не подойдут к любому из перечисленных ИИ вариантов. Скорее всего, это Lockbit, так как группы BlackMatter, ALPHV прекратили свою деятельность, хотя и есть определенное родство в коде Lockbit и BlackMatter. Важнее будет определить какая группа стоит за вариантом Lockbit, которым вас атаковали.

-------

судя по контакту из записки: bncsupport[собака]privacyrequired.com, вариант от этой группы был месяцем ранее на bleepingcomputer.com

Эксперты здесь определяют что данный контакт относится к группе

Цитата

Previously, this group called itself DARKANGELSTEAM.

 

С расшифровкой не сможем помочь.

Без приватного ключа LockbitV3 не расшифровать, и Nomoreransom не поможет, так как подобные группы используют утекший билдер, и соответственно ключи не попадают в оф. группу Lockbit.

 

2 часа назад, CredoLin сказал:

В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky

 

Если есть лицензия на продукт Касперского, возможно следует провести тщательное расследование о причине проникновения злоумышленников в вашу ЛС.

Изменено пользователем safety
CredoLin

CredoLin

Опубликовано
  • Автор
Опубликовано (изменено)

Дешифратор существует на данный момент по Lockbit 3?

 

Лицензия на Kaspersky имеется.

Изменено пользователем CredoLin
safety

safety

Опубликовано
Опубликовано (изменено)

И это важно.

Файл шифровальщика есть в логах

2025-08-05 01:33 - 2025-07-07 00:12 - 000162816 _____ C:\Users\Kaspersky\Documents\LB3.exe

Заархивируйте его с паролем virus, добавьте архив в ваше сообщение.

Цитата

Дешифратор существует на данный момент по Lockbit 3?

Дешифратор существует, т.е. проблема не в нем, а в приватном ключе, который генерируется билдером при каждом его запуске и может быть уникальным в каждой атаке. Шифрование же выполняется публичном ключом. Сэмпл шифрования содержит только публичный ключ.

+

проверьте ЛС.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Да, это ваш шифровальщик:

Цитата

ransom ext: ".zGAVFbhF5"
ransom note name: "zGAVFbhF5.README.txt"

но мы можем получить из него только публичный ключ pub.key, которым шифровали, а вам для расшифровки нужен приватный ключ priv.key.

priv.key создан на стороне злоумышленников, соответственно только они им владеют.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • cringemachine
      Распространение bat-файла на рабочие станции
      Автор cringemachine
      Коллеги, добрый день.
       
      Есть bat-файл, который создает на сетевом диске директорию и в нее копирует (должен копировать) журнал Безопасность – нужны админские права. 
      Также, в качестве теста в него добавлена строка для копирования текстового файла (txt) в созданную директорию – не нужны админские права.
       
        mkdir \\192.168.0.5\temp\KasperskyEventLog\%computername%   copy %SystemRoot%\System32\Winevt\Logs\"Kaspersky Event Log.evtx" \\192.168.0.5\temp\KasperskyEventLog\%computername%\"Kaspersky Event Log.evtx"   copy C:\Users\testuser\Desktop\1.txt \\192.168.0.5\temp\KasperskyEventLog\%computername%\1.txt  
      При запуске скрипта локально с указанием админской УЗ скрипт отрабатывает корректно и оба файла (Журнал Безопасность и текстовый файл) копируются на сетевой диск.
       
      При распространении скрипта посредством KSC через задачу Удаленная установка программы копируется только текстовый файл, т.е. прав не хватает.
      Попробовал разные сценарии – С помощью Агента администрирования (с указанием админской УЗ), Средствами операционной системы с помощью Сервера администрирования (с указанием админской УЗ).
      Результат один – копируется только текстовый файл.
       
      Может быть кто-то владеет опытом распространения bat-файла для исполнения которого требуются админские прав.
    • Остафьево
      Подключение рабочих станций к новому серверу администрирования
      Автор Остафьево
      Подскажите пожалуйста как подключить компьютеры под управление нового сервера администрирования (Security Center 15) при условии что доступа к старому нет.
    • Денис Н
      Рабочие станции сканируют на вирусы сетевые диски.
      Автор Денис Н
      Добрый день!
      Предположительно после обновления антивируса на рабочих станциях до версии 12.1.0.506 при выполнении задачи Поиск вредоносного ПО рабочие станции сканирует и сетевые диски.
      В настройках задачи чекбокс с сетевыми дисками отключен, прикладываю скрин настроек.
      Проблему обнаружили, когда поставили на мониторинг дисковую полку видно, что некоторые ПК открыли на чтение множество (под 100 и более) папок и подпапок.

    • Lotte
      Запретить запуск taskmgr на одной рабочей станции
      Автор Lotte
      Добрый день.
       
      Помогите подскажите возможно ли так сделать? 
       
      Читал статью Запрет запуска объектов установил веб консоль на сервер там же от куда Касперский устанавливается на рабочие станции, подключился под доменным админом и дальше не могу понять.
      Пытаюсь новую политику создать и страница зависает.
       

       

       
      Kaspersky Security Center 13.2 Web Console: 13.2.571
      Версия Сервера администрирования: 13.2.0.1511
    • Garett
      Как внести процесс на рабочих станциях в исключения на стороне KSC?
      Автор Garett
      Добрый день! Нужна помощь - пытаемся соорудить телефонию на базе MightyCall, в мануале указано, что процесс нужно внести в исключения Касперского, чтобы обеспечить нормальную работу приложения. "Для того, чтобы избежать блокировки, следует либо полностью отключить модуль Host Intrusion Prevention, либо внести процесс софтфона InfraSoftPhone.exe в список доверенных. Чтобы добавить InfraSoftPhone.exe в список доверенных, выполните следующие шаги: 1) Перейдите в раздел Settings --> Host Intrusion Prevention, нажмите Applications; 2) На вкладке Application privilege control добавьте программу InfraSoftPhone.exe в список доверенных"
      Но это касается клиентской части - Kaspersky Endpoint Security for Windows, мне же нужно внести процесс InfraSoftPhone.exe в доверенные на стороне сервера, то есть в консоли KSC 13.2. И вот здесь не пойму, как это сделать. Захожу в текущую политику для рабочих станций, далее раздел "Продвинутая защита"->"Предотвращение вторжений"->"Права приложений и защищаемые ресурсы", кнопка "Настройка прав приложений на операции над файлами". Далее вкладка "Защищаемые ресурсы", жму "Добавить"-выбираю "Файл или папка", но непонятно, что дальше. Как добавить именно процесс в исключения? Заранее спасибо.





×
×
  • Создать...