crysis Шифровальщик Harma (WTF2000@cock.li)

[Саша Антонов]

Доброй ночи! Похоже, у меня сложилась такая же ситуация, как у пользователя Павел Семенов в теме ниже.

Через RDP был взлом одной из учеток домена. Какой именно, пока неизвестно - пользователей 40 человек. 

Всего 2 сервера (server1 и server2, оба на windows server 2003r2) 

 

server1 - основной контроллер домена, server2 - как репликант контроллера, на нем так же установлен Kerio, где можно настраивать удаленное подключение через RDP.

Одно из подключение было на server1, второе на компьютер (назовем его пк4) , на нем установлен windows server 2012r2 - именно данный комп подвергся первому заражению. На нем появляется заставка, что ПК зашифрован. За прошедшее время этот ПК стал полностью зашифрованным, далее (видимо по сети) шифрование перешло на server1 - пострадали некоторые папки, и то лишь только потому, что я успел выключить этот ПК. Пользовательские ПК в домене вроде как не пострадали. 

 

 

На данный момент все ПК выключены. 

 

зашифрованные файлы имеют вид {WTF2000@cock.li}.harma

 

 

через server2 (оставив в сети только его) зашел в роутер: в логах написано следующее (ранее такого не было, именно сегодня начали фиксироваться за 5 часов до заражения)

 

Intrusion -> SRC=223.16.7.124 DST=(здесь статический выделенный наш айпи) LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=19728 DFPROTO=TCP SPT=34782 DPT=5555 WINDOW

Intrusion -> SRC=223.16.7.124 DST=(здесь статический выделенный наш айпи) LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=19727 DFPROTO=TCP SPT=34782 DPT=5555 WINDOW

DROP TCP SAMBA Request

 

Intrusion -> SRC=185.176.27.166 DST=(здесь статический выделенный наш айпи) LEN=60 TOS=0x00 PREC=0x00 TTL=246 ID=5051 DFPROTO=TCP SPT=56944 DPT=55304 WINDOW

 

В логах эта инфа фиксируется как только в роутер вставляется DSL-провод. А затем ровно через 10 минут эти логи с разные цифрами повторяются без остановок.

В сети никаких ПК не было, выключены,  только server2.

Имеется вторая DSL линия, второй роутер - там точно такая же картина, только стаческого ip-адреса там нету. 

 

Это злоумышленник сканирует извне порты? Или сигнал идет с ПК (server2) или роутер заражен также вирусом? Сами роутеры не взломаны, пароль администратора там стоит сложный и надежный.

 

 

Подскажите какие действия надо выполнить после включения зараженного ПК с установленной SERVER 2012R2, на котором выскакивают всплывающие окна про заражение.

Спасибо! 

 

 

 

 

[SQ]

Здравствуйте,

 

Это скорее всего CrySis (Dharma)... расшифровки от нет, по крайней мере мне неизвестны случаи(публичные) удачной расшифровки на текущий момент, скорее всего ее нет и у антивирусных компаний.

Если хотите, почистить ПК/Сервера загрузитесь в безопасный режим и выполните инструкции согласно правилам -  «Порядок оформления запроса о помощи».

 

Уточните пожалуста производителя и модель роутера? В последнее время из-за найденных уязвимостей, часто взламывают роутера Mikrotik (сложность пароля особую роль не сыграла в зтих случаях).

 

Если ориентировать на порт:

 

DROP TCP SAMBA Request

То скорее всего воспользовались уязвимостью Samba либо ищут в сети уязвимые ПК/Сервера по протоколу SMB. В этом случае необходимо убедиться, что у Вас установлены все критические обновления Samba и RDP. А RDP лучше не открывать в интернет, а оставлять как минимум за vpn.

[Саша Антонов]

Спасибо за ответ!

 

модель роутера  Huawei  HG658 V2 - это VDSL модем.

 

По инструкциям сделаю завтра с утра! 

 

Можете подсказать насчет Samba, это как я понимаю для Linux-систем? У нас ПК на базе Windows, и кроме MS Word, Excel, PDF программ ничего более и нету. И конечно же программы 1С, которая работает в файловом режиме.

 

Значит ли это что информация в логах - это работа злоумышленника, направленная из интернета на роутер? Или же есть вероятность, что это из ПК какая-то софтина стучится в интернет?

 

Обновления RDP.... Старенькие Windows 2003R2, на них уже вроде обновления перестали выходить. 

Можете вкратце рассказать про "не открывать порт RDP"? 

 

Подключение на сервер происходит через RDP, где вводится статический айпи (для примера) вида 92.34.210.110:2230  

где через двоеточие прописывается порт RDP. 

 

Этот порт (2230) прописывается в настройках роутера как external start port/external end port. Как раз "в целях безопасности", чтобы нельзя было попасть на сервер введя просто статический айпи-адрес

порт rdp по-умолчанию стандартный в самой Windows, не менялся, 3389 

в internal start/end port тоже прописан 2230.

 

затем, уже в Керио, настроена задача, по которой через этот номер порта 2230 пользователь попадает на нужный сервер в сети.

Изменено 17 августа, 2019 пользователем Саша Антонов

[SQ]

Касаемо модема Huawei HG658 v2 я не подскажу.

Но злоумышлинники сканируют все порты, на предмет RDP и Samba (даже если они используют не стандарные порты). Обычно SMB(Samba) касается Windows.

Можете вкратце рассказать про "не открывать порт RDP"?

Из-за того, что последнее время все чаще и чаще находят уязвимости в RDP и SMB, не стоит эти порты оставлять открытыми или доступные в интернете, так как злоумышлинники их используют, чтобы добраться до корпоративных данных, далее на свое усмотрения делать с ними все что угодно.