[БЕЗ РАСШИФРОВКИ] Шифровальщик [bitcoin@email.tg].ncov

[alexshav]

Добрый день!

Увидел на диске файлы с расширением 

[bitcoin@email.tg].ncov

Выключил комп, пока не пойму откуда произошло заражение и шифрование.

В режиме восстановления утилитой FRST собрал лог, прикрепил.

Дальше не пойму как действовать, какой утилитой все попробовать удалить... На компьютере работает "Kaspersky Internet Security 2020", но есть ли у них помощь в удалении вирусов пока тоже не понял.

Извиняюсь сразу не прикрепит логи, исправляюсь

FRST.txt

CollectionLog-2020.04.01-16.44.zip

[mike 1]

 

Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)

Логи нужны из обычного режима. 

[alexshav]

Запустил в защищенном режиме 

• Kaspersky Virus Removal Tool 2015;
• Dr.Web CureIt!.

Первый ничего не нашел, второй тоже

Поиск по диску говорит что все измененные файлы имеют дату от 01.04.2020 и время от 11:42:14 до 11:43:17 на диске 6300 файлов.

В итоге не понимаю откуда пролез шифровальщик, решил пока скопировать файлы на сетевой диск и сделать восстановление компа к исходному состоянию... 

В интернете есть ссылки на непонятные мне утилиты

 

Spyhunter  

Malwarebytes

 

Не понимаю - можно ли им доверять или это еще один шифровальщик

 

 

Есть опасения что простая загрузка может привести к продолжению работы шифровальщика. Или есть гарантированный способ этого избежать? Я пока поставил копировать все файлы сколько нибудь полезные на другой диск. 

П.С. Из неприятного - синхронизация на гугл работала и переименовало там много файлов (причем они остались вроде читаемы, только расширение поменялось...), надо разбираться можно ли там откатить массово до предыдущей версии.

 

 

 

Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)

Логи нужны из обычного режима. 

 

[mike 1]

 

 

Не понимаю - можно ли им доверять или это еще один шифровальщик

SpyHunter место в корзине. 

 

 

 

В итоге не понимаю откуда пролез шифровальщик, решил пока скопировать файлы на сетевой диск и сделать восстановление компа к исходному состоянию... 

RDP ломанули. 

 

 

 

Или есть гарантированный способ этого избежать?

Скопируйте важные данные на внешний жесткий диск. Компьютер можно на время отключить от сети, чтобы он не начал шифровать общие сетевые папки. 

[alexshav]

Логи с обычного режима.

Скопировал все нужные файлы, отключил сеть, теперь можно над ним экспериментировать.

Прошу подскажите как получилось ломануть RDP? Действительно был открыт во внешнюю сеть порт 3389 (на 33890) и неделю назад делал попытку настройки RDP Wrap (все качал с "официального" https://github.com/stascorp/rdpwrap/releases), но сейчас он был отключен, а именно ключ

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters]

указан на стандартный 

%SystemRoot%\System32\termsrv.dll

 

после запуска в стандартном режиме каспер бел выключен полностью, включил, вылечил несколько файлов

 

 

Кроме вопроса - что же сейчас делать (кроме как снести нафиг все с диска и переинсталить винду), очень интересен механизм:

-какими уязвимостями могли воспользоваться, а главное что было скопрометировано - пароль пользователя с админскими правами?

- почему такой короткий промежуток времени судя по дате изменения файлов работал шифровальщих? (до этого и после как минимум 30 минут ничего не происходило с ПК). Судя по диску не все было защифровано, потери не большие. 

- помогает ли тут Каспер, или нужно что-то дополнительное тут иметь?

 

Думаю тут есть взаимосвязь с чертовым короновирусом - все пошли на удаленку, активизировался поиск открытых портов RDP...

 

П.С. Выяснил неприятную особеность гуглдиска - откат к предыдущим версиям можно делать только по одному файлику, а событие переименования вовсе нельзя отменить. Пока достал из корзины все помещенные туда файлы. Судя по вот этой ссылке микрософтовский OneDrive умеет делать массовый откат. Это повод пересмотреть отношение к облачным хранилищам - нужно изучить эти возможности в яндекс диске 

https://support.google.com/drive/thread/5409640?hl=en

 

CollectionLog-2020.04.01-20.48.zip

[mike 1]

Компьютеры с открытым портом RDP легко находятся, а подобрать пароль дело времени. Зачастую используются уязвимости протокола RDP. 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s00].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[alexshav]

Прикладываю отчет  AdwCleaner (by Xplode)

 

Дополнительно решил посмотреть системные журналы, чтобы разобраться как все таки могли поломать RDP (чей пароль подобрали), если был подбор должно быть много событий неудачного входа, по идее.

 

Вот события журнала, которые мне показались подозрительными рядом с промежутком времени когда менялись файлы

 

Security

- журнал не открывается, пишет ошибка доступа

 

Application Error:

Состояние Kaspersky Internet Security успешно изменено на SECURITY_PRODUCT_STATE_SNOOZED.

Состояние Kaspersky Internet Security успешно изменено на SECURITY_PRODUCT_STATE_OFF.

Состояние Windows Defender успешно изменено на SECURITY_PRODUCT_STATE_ON.

Информация теневого копирования тома: не удается запустить COM-сервер с CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} под именем Coordinator. [0x80070005, Отказано в доступе.] 

 

Имя сбойного приложения: 1Alpha.exe, версия: 0.0.0.0, метка времени: 0x5e7a9af9

Имя сбойного модуля: 1Alpha.exe, версия: 0.0.0.0, метка времени: 0x5e7a9af9

Код исключения: 0xc0000006

Смещение ошибки: 0x0003a233

Идентификатор сбойного процесса: 0x5df4

Время запуска сбойного приложения: 0x01d608013806f1c5

Путь сбойного приложения: \\tsclient\B\CRY\1Alpha.exe

Путь сбойного модуля: \\tsclient\B\CRY\1Alpha.exe

 

Имя сбойного приложения: 1bit.exe, версия: 0.0.0.0, метка времени: 0x5e79420b

Имя сбойного модуля: 1bit.exe, версия: 0.0.0.0, метка времени: 0x5e79420b

Код исключения: 0xc0000006

Смещение ошибки: 0x00065ab6

Идентификатор сбойного процесса: 0x7f8

Время запуска сбойного приложения: 0x01d608018603b887

Путь сбойного приложения: \\tsclient\B\CRY\1bit.exe

Путь сбойного модуля: \\tsclient\B\CRY\1bit.exe

 

Имя сбойного приложения: 1Berilium.exe, версия: 0.0.0.0, метка времени: 0x5e7a98d5

Имя сбойного модуля: 1Berilium.exe, версия: 0.0.0.0, метка времени: 0x5e7a98d5

Код исключения: 0xc0000006

Смещение ошибки: 0x00070362

Идентификатор сбойного процесса: 0x6c14

Время запуска сбойного приложения: 0x01d6080162ec99af

Путь сбойного приложения: \\tsclient\B\CRY\1Berilium.exe

Путь сбойного модуля: \\tsclient\B\CRY\1Berilium.exe

 

System:

 

Установка завершена: следующее обновление было успешно установлено: Обновление платформы защиты от вредоносных программ Windows Defender Antivirus — KB4052623 (версия 4.18.2003.8)

 

Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID 

{E579AB5F-1CC4-44B4-BED9-DE0991FF0623}

 и APPID 

{56BE716B-2F76-4DFA-8702-67AE10044F0B}

 пользователю SRV\Marina с ИД безопасности (S-1-5-21-868910638-4054835038-886427749-1005) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

 

Процесс C:\Windows\System32\DriverStore\FileRepository\c0346830.inf_amd64_f723e13ffb3b2652\B345901\atieclxx.exe (ИД процесса: 27372) изменил схему политики с {8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c} на {8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c}

 

 

 

Подробнее читайте в этом руководстве.

 

Не могли бы поправить ссылку, куда хотели меня отправить на этом форуме?

AdwCleanerS00.txt

Изменено 2 апреля, 2020 пользователем alexshav

[mike 1]

Очистите найденное. 

 

Подробнее читайте в этом руководстве.

[alexshav]

Очистил все что нашел AdwCleaner (by Xplode)

Что сделал дополнительно:

 

sfc /scannow (ошибок нет)

DISM /Cleanup-Image /ScanHealth (повреждений нет)

 

изучил Event-Log в попытке разобраться как-же все таки удалось проникнуть в систему. Что выяснил - действительно происходили регулярные попытки входа в систему, журнал Security полон неудачных попыток входа с внешних адресов, затем последовательно нашел какой логин был сломан. Итак куча записей (примерно 1 раз в 2-5 сек.) события типа

 

failed to log on:

An account failed to log on.

Subject:
Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 00000000

Logon Type: 3

Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: MARINA
Account Domain:

Failure Information:
Failure Reason: Неизвестное имя пользователя или неверный пароль.
Status: C000006D
Sub Status: C000006A

Process Information:
Caller Process ID: 00000000
Caller Process Name: -

Network Information:
Workstation Name: -
Source Network Address: 221.2.244.66
Source Port: 0

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

 

 

Везде тут попытка 

Logon Type: 3

 

Любопытно

- разные IP

- перебор логинов по словарю (в основном Admin, Admininstrator, User и т.п. , но и менее популярные - Sklad3,  kassa2 и т.д.). В примере выше - логин который был в итоге сломан (без админских прав, но с правами RDP)

 

Затем нашел три почти подряд события успешного входа

 

successfully logged on:

An account was successfully logged on.

Subject:
Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 00000000

Logon Information:
Logon Type: 3
Restricted Admin Mode: -
Virtual Account: Нет
Elevated Token: Нет

Impersonation Level: Олицетворение

New Logon:
Security ID: S-1-5-21-868910638-4054835038-886427749-1005
Account Name: Marina
Account Domain: SRV
Logon ID: 478C5F21
Linked Logon ID: 00000000
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:
Process ID: 00000000
Process Name: -

Network Information:
Workstation Name: ВИРТУХА_WIN7
Source Network Address: 45.9.238.21
Source Port: 0

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V2
Key Length: 128

==========================================

Subject:
Security ID: S-1-5-18
Account Name: SRV$
Account Domain: KAFEDRA
Logon ID: 000003E7

Logon Information:
Logon Type: 7
Restricted Admin Mode: -
Virtual Account: Нет
Elevated Token: Нет

Impersonation Level: Олицетворение

New Logon:
Security ID: S-1-5-21-868910638-4054835038-886427749-1005
Account Name: Marina
Account Domain: SRV
Logon ID: 478F7A38
Linked Logon ID: 00000000
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:
Process ID: 00000750
Process Name: C:\Windows\System32\svchost.exe

Network Information:
Workstation Name: SRV
Source Network Address: 45.9.238.21
Source Port: 0

Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

====================================

An account was successfully logged on.

Subject:
Security ID: S-1-5-18
Account Name: SRV$
Account Domain: KAFEDRA
Logon ID: 000003E7

Logon Information:
Logon Type: 10
Restricted Admin Mode: Нет
Virtual Account: Нет
Elevated Token: Нет

Impersonation Level: Олицетворение

New Logon:
Security ID: S-1-5-21-868910638-4054835038-886427749-1005
Account Name: Marina
Account Domain: SRV
Logon ID: 481DC4C0
Linked Logon ID: 00000000
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:
Process ID: 00000750
Process Name: C:\Windows\System32\svchost.exe

Network Information:
Workstation Name: SRV
Source Network Address: 45.9.238.21
Source Port: 0

Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

 

 

Что мне не понятно:

- пароль на взломанного пользователя состоял из 6 неодинаковых цифр, простой перебор не сложен но должен был показать тысячи неудачных попыток, а за 3 предыдущих дня набралось их не более 15-ти. Как тогда? Не понимаю...

- по времени логон с типом 10 (RDP), был позже чем начались переименования файлов. Получается получив файловый доступ (логин с типом 3), уже удалось запустить шифратор. И логон по RDP был уже в дополнение к автоматическому запуску шифратора отсюда

 

Workstation Name: ВИРТУХА_WIN7
Source Network Address: 45.9.238.21

 

Сегодня была попытка входа на мою почту (gmail прислал уведомление на почту) с Американского IP - отклонил и поставил двухфакторную авторизацию с использованием телефона. Но тогда это означает что как-то увели пароль на почту? Опять не понимаю, это уже кейлогер должден работать...

 

Итого по итогам вопросы:

- что посоветуете держать в дополнение к Kaspersky Internet Security из постоянно запущенных? От разнообразия утилит глаза разбегаются - только тут в топике целый ворох разных... Желательно простой набор, чтобы легко клонировать на несколько компов + ноуты.

- чем бы закрыть RDP кроме сложных паролей, чтобы избавиться от такого подбора постоянного, вот это IPBAN? 

http://nikovit.ru/blog/zashchishchaem-rdp-server-ot-perebora-paroley-s-blokirovkoy-po-ip/
 

[mike 1]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[alexshav]

Запустил, единственное - вместо "Driver MD5", есть только "SigCheckExt"

 

FRST.txt

Addition.txt

[mike 1]

C:\Users\Marina\Documents\NS.exe
C:\Users\Все пользователи\x64.exe

Проверьте файлы на virustotal. 

 

Какого числа получили шифровальщика? 

[alexshav]

 

 

C:\Users\Marina\Documents\NS.exe

 

тут полно вирусов нашлось, причем KIS (Касперский Интернет ...) определил ее как не вирус, однако предлагает ее в карантин отправить. Переименование файла мое, чтобы случайно не запустить

07.04.2020 11.06.19 Обнаруженный объект (файл) не обработан E:\flash\Dangeros\NS.e Файл: E:\flash\Dangeros\NS.e Название объекта: not-a-virus:NetTool.Win32.Scan.qj Тип объекта: Легальная программа, которая может быть использована злоумышленниками для нанесения вреда компьютеру или данным 

 

 

C:\Users\Все пользователи\x64.exe

 

Этот чистый по virustotal

 

 

 

Какого числа получили шифровальщика? 

 

все файлы измененные имели дату от 01.04.2020 и время от 11:42:14 до 11:43:17

по анализу логов удачный логон в нешнего IP произошел чуть раньше на несколько минут

[mike 1]

Часть информации может быть получится восстановить с помощью ShadowExplorer. 

 

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

[Astan]

доброго времени суток

поймали вирус что добавил в конце NCOV

после чего перестали открывать файлы 1с доки и,т,д

в касперском на сайте нету на него расшыфровщика(

можете помоч?