crylock 2.0.0.0 Зашифрованы файлы omegawatch@protonmail.com

[PhaetonX]

Сегодня ночью (в 2:33 МСК+2) на бухгалтерском сервере были зашифрованы файлы. Базы 1С скорее всего не пострадали (восстановились), однако многие пользовательские файлы остались зашифрованы. Подключение к серверу происходит по RDP, причем в логах было видно, что под бухгалтером зашли аккурат перед шифрованием. Так же отмечалась повышенная активность при сканировании внешних портов на нашем IP. Номер порта при пробросе меняем каждую неделю, произвели настройку RouterOS, но результат такой какой есть. Попробовали связаться со злоумышленниками, с адреса leeabror@gmail.com пришло письмо следующего содержания:

 

"Для оплаты вам необходимо совершить обмен рублей на биткоины
для этого заходите на специальный обменник(их много, воспользоваться можно любым удобным)
например: https://mine.exchange/?rid=17&cur_from=SBERRUB&cur_to=BTC
или https://ob-men.com/exchange-SBERRUB-to-BTC/ https://cashbank.pro/?rid=840
На главной странице везде 2 столбика : ОТДАЕТЕ и ПОЛУЧАЕТЕ
в столбике ОТДАЕТЕ выбираете свой банк или название кошелька , например КИВИ
в столбике получаете выбираете Bitcoin BTC
далее следуете указанием на обменнике: указываете сумму в рублях, обменник сам конвертирует ее в биткоины, указываете  кошелек биткоина : 332ChhpokXXpEpwK2sbRG6gEnyxojyyRBQ
заполняете все графы и формируете заявку , номер заявки необходимо отправить оператору онлайн (справа на сайте внизу окно)
оператор предоставляет вам данные карты куда совершается перевод и вы заходите в свой банк онлайн и совершаете оплату. Потом пишете, что оплату совершили оператору. Перевод занимает 20-30 минут. Напишите мне, что оплатили. Как деньги зачислятся, я вышлю программу дешифратор."

 

с предложением оплатить 50 000 рублей. Насколько понимаю, расшифровать файлы не получится...

Addition.txt Documents.zip FRST.txt

[Sandor]

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

 

Порты открывали самостоятельно?

Цитата

FirewallRules: [{55D9F675-EDE2-49BB-8D68-7CC79A14D101}] => (Allow) LPort=1688
FirewallRules: [{1B9EA2E0-DA6C-415B-90C5-A430D601EF83}] => (Allow) LPort=8802
FirewallRules: [{8B9A9011-C197-41BB-BB61-ED156F76A675}] => (Allow) LPort=443
FirewallRules: [{31C437B9-23E0-4A57-9144-BF8BC2DE053F}] => (Allow) LPort=443
FirewallRules: [{098CC86B-B1E5-4A60-931C-628F98D5744E}] => (Allow) LPort=443
FirewallRules: [{FDD7818F-24B2-4C45-B5DD-59700099E7EB}] => (Allow) LPort=443
FirewallRules: [{B60D9D14-87CC-4B60-B0E5-1F5EED7BCCCD}] => (Allow) LPort=443
FirewallRules: [{49713A4B-01A1-449A-8846-0A7A325853BD}] => (Allow) LPort=443
FirewallRules: [{B9FB05C6-F598-4DD1-9763-36A5D85E52B7}] => (Allow) LPort=8501
FirewallRules: [{F151DA13-3323-433C-8A16-3982FE3FFB7A}] => (Allow) LPort=8501

 

[PhaetonX]

Добрый день, открывали только 8802 на микротике, для удаленного доступа бухгалтера к рабочей машине, но не к серверу. Ее машина тоже пострадала, причем вплоть до синего экрана.

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  HKU\S-1-5-21-3174095181-1406334129-3656909931-500\...\MountPoints2: {eefa1476-5e83-11e3-9124-806e6f6e6963} - D:\AUTORUN.EXE
  Toolbar: HKU\S-1-5-21-3174095181-1406334129-3656909931-500 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
  Toolbar: HKU\S-1-5-21-3820103813-2538463676-3415109843-1113 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
  2020-07-29 03:05 - 2020-07-29 03:05 - 000005916 _____ C:\Users\findir\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2020-07-29 03:04 - 2020-07-29 03:04 - 000005916 _____ C:\Users\Все пользователи\how_to_decrypt.hta
  2020-07-29 03:04 - 2020-07-29 03:04 - 000005916 _____ C:\ProgramData\how_to_decrypt.hta
  2020-07-29 03:01 - 2020-07-29 03:01 - 000005916 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Public\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\Downloads\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\Desktop\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\Roaming\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\LocalLow\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\Local\Temp\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\Users\findir\AppData\how_to_decrypt.hta
  2020-07-29 03:00 - 2020-07-29 03:00 - 000005916 _____ C:\ProgramData\Documents\how_to_decrypt.hta
  FirewallRules: [{55D9F675-EDE2-49BB-8D68-7CC79A14D101}] => (Allow) LPort=1688
  FirewallRules: [{8B9A9011-C197-41BB-BB61-ED156F76A675}] => (Allow) LPort=443
  FirewallRules: [{31C437B9-23E0-4A57-9144-BF8BC2DE053F}] => (Allow) LPort=443
  FirewallRules: [{098CC86B-B1E5-4A60-931C-628F98D5744E}] => (Allow) LPort=443
  FirewallRules: [{FDD7818F-24B2-4C45-B5DD-59700099E7EB}] => (Allow) LPort=443
  FirewallRules: [{B60D9D14-87CC-4B60-B0E5-1F5EED7BCCCD}] => (Allow) LPort=443
  FirewallRules: [{49713A4B-01A1-449A-8846-0A7A325853BD}] => (Allow) LPort=443
  FirewallRules: [{B9FB05C6-F598-4DD1-9763-36A5D85E52B7}] => (Allow) LPort=8501
  FirewallRules: [{F151DA13-3323-433C-8A16-3982FE3FFB7A}] => (Allow) LPort=8501
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

[PhaetonX]

Fixlog.txt

[Sandor]

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[PhaetonX]

Fixlog.txt

 

Спасибо! Обнаружилась только одна уязвимость в MXML, патч установили. Но при этом, в центре обновления дата последних обновлений 16 мая и при проверке новые обновления не обнаруживаются, хотя однозначно должны быть.