Перейти к содержанию

@GotchaDec, Hunt3 - зашифрованны файлы на Windows и ESXi.

Zinger0
 Поделиться

Рекомендуемые сообщения

Zinger0

Zinger0

Опубликовано
Опубликовано (изменено)

Зашифрованы файлы на Windows и ESXi.

Судя по следам - работали вручную. Через Энидеск и т.д.

Сеть и сохраненные пароли сканировали в т.ч. NirSoft утилитами и mimikatz

Подробнее описание см. в архиве в файле.

Остальные файлы предоставлю по запросу, как сказано в правилах.

Обращаюсь в первый раз. Простите, если ошибся где-то.

FRST.txt files.rar

Изменено пользователем Zinger0
  • Zinger0 изменил название на @GotchaDec, Hunt3 - зашифрованны файлы на Windows и ESXi.
safety

safety

Опубликовано
Опубликовано

Зашифрованные системы сканировали под W? Можете предоставить логи сканирования (Cureit или KVRT) в архиве, без пароля.

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по найденным файлам W системы были зашифрованы с Lockbit v3 Black (сэмплы с парольной защитой - pass к сожалению, не известен) , ESVi файлы возможно зашифрованы BlackHunt, или тем же Conti с маскировкой под BlackHunt.

(Есть предположение, что BlackHunt не настоящий, а скорее всего Babuk. И это укладывается в привычную схему атаки: W- системы шифруются с помощью Lockbit v3 Black, ESXi - с помощью Babuk. В обоих случаях сэмплы создаются на основе утекших билдеров).

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrey1015
      Троян зашифровал файлы на компьютере
      Автор Andrey1015
      Здравствуйте. 
       
      Не понятно как, но на компютере в домене прилетел троян, судя по всему по эл.почте. Учетная запись без прав администратора. Зашиврофали все файлы на локальных дисках и некоторые файлы на сетевых дисках, куда был доступ у данной учетной записи. Файл трояна был удален, назывался как-то "sputnik_...". Во вложении архив с зашифрованными файлами и файлом .txt с требованиями.
       
      files.zip FRST.txt Addition.txt
    • Amirsvami
      Шифровальщик попал в организацию!
      Автор Amirsvami
      Добрый день! 
      Сегодня ночью подверглись атаке шифровальщика. Разрушил всё! Начиная с файлов (частично) заканчивая бекапами и базами данных, а так же виртуальные машины. Просьба написать, какие данные скинуть для анализа, возможно уже был похожий кейс. А, и ещё, в организации нашей установлен корпоративный Касперский.

    • Юрий_86
      Шифровальщик lockbit v3 black
      Автор Юрий_86
      Поймал шифровальщик. Во вложении архив с зашифрованным и исходным файлом, плюс письмо о выкупе.
      Антивирусом Cureit проверяли, ничего не нашли. Система полностью переустановлена. Никаких логов нет.
      Подскажите, есть ли способ расшифровать?
      Архив.zip
    • Alexan_S
      Шифровальщик ijAfcuXJL от room155
      Автор Alexan_S
      Добрый день. Поймали шифровальщик от room155.
      Открыли письмо с темой: Счет для Вашей организации.
      В zip-овском архиве был документ и скрипт, само письмо, к сожалению, уже удалили.
      Есть файлы до и после зашифровки, сам шифровальщик поймать не удалось.
      архив.zip
    • Vladimir Kudashov
      Шифровальщик (APT Werewolves)
      Автор Vladimir Kudashov
      Прошу помощи в подборе декриптора.
      Есть записка от злоумышленников и пара файлов (оригинал и зашифрованный).
      yKHkJGIje.README.txt
      Несколько зашифрованных файлов
      enc_files.zip
×
×
  • Создать...