Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

компьютер-сервер 1С поймал шифровальщик

Bek777
 Поделиться

Рекомендуемые сообщения

Bek777

Bek777

Опубликовано
Опубликовано

Здравствуйте! Коллеги поймали шифровальщик, отключили от сети убрали через KVRT. Далее установили (после пожара) KES. Логи с KVRT нет. Прилагаю только с FRST и само сообщение во втором архиве. Зашифровано практически все форматы и оба (С, D) диска. Закидывал в шерифа не найдено. Надеюсь вы поможете.

FRST.rarHowToRecover.rar

Bek777

Bek777

Опубликовано
  • Автор
Опубликовано
10 минут назад, Bek777 сказал:

Здравствуйте! Коллеги поймали шифровальщик, отключили от сети убрали через KVRT. Далее установили (после пожара) KES. Логи с KVRT нет. Прилагаю только с FRST и само сообщение во втором архиве. Зашифровано практически все форматы и оба (С, D) диска. Закидывал в шерифа не найдено. Надеюсь вы поможете.

FRST.rar 43.74 kB · 0 загрузок HowToRecover.rar 286.39 kB · 0 загрузок

Извините, добавляю логи с KVRT ниже...

 

https://cloud.mail.ru/public/VPn9/qK4kwynHL

safety

safety

Опубликовано
Опубликовано (изменено)
13 минут назад, Bek777 сказал:

Извините, добавляю логи с KVRT ниже...

Обнаружений много, в том числе и среди инструментов злоузмышленников, например Mimikatz, но детект Ransom не виден. Возможно это это был Proton. и возможно что сэмпл сэмпл был заражен вирусом, судя по детектам:

Win32.DarkKomet.hqxy

Имеет смысл проверить/пролечить полностью системный диск с загрузочного диска KRD,

 

В этой папке больше ничего не осталось?

C:\Users\direktor\Documents\[tools]

 

Изменено пользователем safety
Bek777

Bek777

Опубликовано
  • Автор
Опубликовано (изменено)
33 минуты назад, safety сказал:

Обнаружений много, в том числе и среди инструментов злоузмышленников, например Mimikatz, но детект Ransom не виден. Возможно это это был Proton. и возможно что сэмпл сэмпл был заражен вирусом, судя по детектам:

Win32.DarkKomet.hqxy

Имеет смысл проверить/пролечить полностью системный диск с загрузочного диска KRD,

 

В этой папке больше ничего не осталось?

C:\Users\direktor\Documents\[tools]

 

Что-то есть. Пароль к архиву тот же.

 

Изменено пользователем safety
архив загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

В архиве вспомогательные инструменты для подбора паролей и продвижения по локальной сети.

 

Поищите на системном диске файлы с именем Stub.exe, Stub64.exe

 

Возможно что в этой папке должны быть

C:\Users\direktor\Documents\

Изменено пользователем safety
Bek777

Bek777

Опубликовано
  • Автор
Опубликовано
25 минут назад, safety сказал:

В архиве вспомогательные инструменты для подбора паролей и продвижения по локальной сети.

 

Поищите на системном диске файлы с именем Stub.exe, Stub64.exe

 

Возможно что в этой папке должны быть

C:\Users\direktor\Documents\

При первом поиске было два обнаружения, при повторном не обнаружились. Может ли быть, что касперски их удалил?

safety

safety

Опубликовано
Опубликовано

Может. Добавьте отчеты по обнаружению угроз из антивируса Касперского. В архиве, без пароля.

Bek777

Bek777

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Может. Добавьте отчеты по обнаружению угроз из антивируса Касперского. В архиве, без пароля.

Отчет прилагаю.

отчет.rar

safety

safety

Опубликовано
Опубликовано
11 часов назад, Bek777 сказал:

При первом поиске было два обнаружения, при повторном не обнаружились

В отчетах по обнаружению нет обнаружений Stub*.exe

 

Какой поиск вы  имеете ввиду? Антивирусной программой или об обычном поиске файлов?

Bek777

Bek777

Опубликовано
  • Автор
Опубликовано
27 минут назад, safety сказал:

В отчетах по обнаружению нет обнаружений Stub*.exe

 

Какой поиск вы  имеете ввиду? Антивирусной программой или об обычном поиске файлов?

Вчера когда я делал поиск, делал поиск диск С. Обычным поиском. В первый раз когда делал поиск было два обнаружения Stub.exe. прошел по расположению файла (хотел сделать скрин) был только файл текстовик который лежит во всех папках. А второй и третий раз уже не обнаружил в поиске.

safety

safety

Опубликовано
Опубликовано

Возможно, что Windef мог зачистить файлы после обнаружения. Хотя он должен был быть отключен после установки KES. Это единственное устройство у вас которое было зашифровано?

 

Для доп. анализа проверьте ЛС.

Bek777

Bek777

Опубликовано
  • Автор
Опубликовано
38 минут назад, safety сказал:

Возможно, что Windef мог зачистить файлы после обнаружения. Хотя он должен был быть отключен после установки KES. Это единственное устройство у вас которое было зашифровано?

 

Для доп. анализа проверьте ЛС.

Да, в локальной сети этот компьютер единственный.

safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов по данному типу не сможем помочь без приватного ключа.

 

Важные зашифрованные файлы сохраните на отдельный носитель, возможно что расшифровка будет возможной в будущем.

Если будет слив ключей, или полиция доберется до серверов злоумышленников.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

  • Like (+1) 1
Bek777

Bek777

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

С расшифровкой файлов по данному типу не сможем помочь без приватного ключа.

 

Важные зашифрованные файлы сохраните на отдельный носитель, возможно что расшифровка будет возможной в будущем.

Если будет слив ключей, или полиция доберется до серверов злоумышленников.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Понял. Благодарю за уделенное время!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Игорь11222
      Шифровальфик с расширением SYXmxcO8
      Автор Игорь11222
      Сегодня в ночь зашивровались некоторые файлы, кроме зашифрованных файлов и тектовых документов с требованиями ничего в системе не обнаружено. Файлы зашифровались не все, с 22:00 началось шифрование файлов, в 3:08 оно остановилось. Антивирус никакх угроз не обнаружил
      Addition.txt FRST.txt в.zip
    • lda
      Зашифровали компьютеры сети, похоже на Mimic
      Автор lda
      Доброй ночи! Зашифровали компьютеры сети, похоже на Mimic. На одном из компьютеров, откуда скорей всего производили запуск, нашел папочку mimic, ее прикладываю. Архив encrypted с зашифрованным файлами с этого же компа, dunay-ut - с компа из сети. Прошу оказать помощь в расшифровке. Заранее благодарен
      dunay-ut.rar Mimik.rar encrypted.rar
    • vadim.ku01
      Вирус шифровальщик и вымогатель
      Автор vadim.ku01
      Добрый день! Очень прошу Вашей помощи. Столкнулся с тем, что сотрудники поймали шифровальщика и уничтожили свой Пк. Плюс ко всему этому зацепили сетевой диск. Хотелось бы сетевой восстановить
      В сети про данного шифровальщика ничего нет, очень надеюсь найти помощь на данном форму, так как надежда ещё есть.
      Для примера прилагаю зашифрованный файл и сам текс вымогателей по ссылке на облаке
      И соответственно зашифрованный файл на облаке, так как тут данные файл не прицепишь : https://cloud .mail.ru/public/g9rB/dk6UQ8p8B
      Очень прошу помощи


      -----------------------------
      Good afternoon! I urgently need your help. My coworkers caught ransomware and destroyed their PC. On top of that, they also affected a network drive. I'd like to restore the network drive. There's nothing about this ransomware online, but I'm really hoping to find help on this forum, as there's still hope. As an example, I'm attaching an encrypted file and the ransomware's text via a link on the cloud. And, accordingly, the encrypted file is on the cloud, as you can't attach the file data here: https://cloud .mail.ru/public/g9rB/dk6UQ8p8B

      I urgently need your help.
      HowToRecover.txt
    • andy8080
      Помогите с расшифровкой Trojan.Encoder.44902
      Автор andy8080
      Зашифровали, на раб столе появились папки run- в ней папки !logs, dump, mimikatz, passrecpk и runsss\464530319E568E0C\stub.exe
      frst логи, фото раб стола, скрин cureit и два зашифрованых файла в архиве, пароль123
      Компьютер был выключен удаленно после окончания шифрования предположительно
      Trojan.Encoder.44902.rar Trojan.Encoder.44902.rar
    • ShadySS
      Помогите с расшифровкой файлов, с типом шифровальщика не определился
      Автор ShadySS
      Словили шифровальщик на сервере, зашифровал всё: и 1С, и бэкапы, и документы. У зашифрованных файлов рандомное имя (10 символов, в независимости от длины исходного имени) и новое расширение .8gKkbNYH
      Система «в рабочем» состоянии, но перезагружалась много раз.
      В архиве (пароль 111) пример зашифрованных файлов с требованием злоумышленников и исходники зашифрованных файлов
      Addition.txt FRST.txt ПримерФайлов.7z
×
×
  • Создать...