возможно proxima Зашифровали файловый сервер XigmaNas

[Институт]

Доброго дня.  Подскажите как узнать что за шифровщик (а то в личном кабинете нет куда обратиться).  Сервер работает на системе FreeBSD, с открытой шарой.  Можно тут зашифрованный файл прикрепить?

[safety]

Можно здесь прикрепить небольшие несколько файлов + записку о выкупе в одном архиве без пароля.

[Институт]

Прикрепил в архиве 2 файла и записка txt. Заранее спасибо.

file.zip

[safety]

Возможно, что это Proxima.

Если зашифрованы только файлы общей папки на сервере, и эта папка доступна с рабочих станций, надо смотреть на каком из устройств в ЛС был запуск шифровальщика.

На этом устройстве сделайте логи FRST.

[Институт]

Пока поставили Касперский премиум на 4 пк, при быстром сканирование не чего не обнаружил (сделаю тогда полное).  Там на файловый сервер был включен удаленный доступ, вот мне кажется, что как то так произошло зашел удаленно запустил, следы подчистил.  Но все таки подскажите как называется что надо найти на рабочих пк. Просканирую все FRST/

[safety]

Proxima вряд может быть запущена под FreeBSD. Если серверная шара подключается как сетевой диск на устройствах сети, надо смотреть от какого пользователя сделаны изменения

 

Смотрите, есть на устройствах сети, кроме сервере файлы с этим расширением *.Rosti, и записки Rosti_Help.txt

Rosti_Help.txt

Изменено Воскресенье в 11:26 пользователем safety

[Институт]

Доброго вечера, вот снял логи упаковал в архив. Ну я спросил у неро сети если что подозрительное ответила один файл которой официальный но название специфичное.  Поизучал данный шифровальщик в интернете с большой долей вероятности  это Proxima похож по структуре которое он оставил письма . 

FRST.zip

[safety]

Судя по логам FRST здесь на устройствах нет следов запуска шифровальщика.

Искать на устройствах надо файлы с расширением *Rosti, и по имени Rosti_Help.txt

[Институт]

На устройствах искать, кто теоретически мог заходить? мне кажется это удаленно на прямую зашли. А вообще есть в Касперском платная услуга по дешифровки. 

[safety]

В третий раз вам уже пишу.

На устройствах в ЛС искать файлы с расширением *.Rosti, и по имени "Rosti_Help.tx"t на системном диске (не на сетевой шаре).

Если найдете такое устройство в вашей ЛС, то с большой вероятностью, именно на этом устройстве и был запуск шифровальщика.

Вот с него и надо собрать логи FRST.

 

Или создайте запрос в вирлаб при наличие лицнзии на продукт Касперского.

[Институт]

Доброго дня. Все проверил на рабочих машинах. Не каких следов, тажке касперским проверял глубокое сканирование без результатно.  Это есть только  *.Rosti, и Rosti_Help.txt только на самом сервере.  

[safety]

Возможно, что смогли удаленно подключиться к данному сетевому хранилищу.

 

Цитата

 

В 2015 году в XigmaNAS была обнаружена уязвимость CVE-2015-0240 — уязвимость удалённого выполнения кода в Samba, включённой в nas4free.

Уязвимость была исправлена в версии 9.3.0.2.1351 или позже.

 

 

[Институт]

Да у нас был открыт удаленный доступ по FTP еще со времен пандемии именно на XigmaNAS наша версия (XigmaNAS 12.1.0.4 (7287). Вот мне кажется так и заражение произошло. А в итоге есть какое нибудь решение по расшифровки на платной основе или какие варианты вообще есть. 

Изменено 52 минуты назад пользователем Институт