Перейти к содержанию

Подцепил что-то новое, ничего подобного не нашел


Рекомендуемые сообщения

Доброго дня, подцепил что-то новое - перерыл весь инет не нашел ничего похожего по названиям и меткам. Возможно эти данные генерируются случайно. По итогу все файлы зашифрованы, на компьютере удаленно работает пожилая бухгалтер, и восстановить данные вручную она уже не сможет. Сейчас (узнав о ситуации) - хочет увольняться, в общем все очень сложно и просто форматнуть диски и забыть - очень нужно достать данные. Резервное копирование выполнялось на второй локальный диск (интернет не позволяет делать его на удаленный сервер - копии так же зашифрованы).

К компьютеру был доступ по RDP, либо бухгалтер что-то запустила из почтовых вложений, других явных точек входа для шифровальщика не было. 

В файле-послании RESTORE_FILES_INFO.txt указан почтовый адрес dealinfrm@cock.li (пока молчат, жду ответ), и адрес сайта http://sonarmsniko2lvfu.onion/contact/dealinform/ которого нет среди доменных имен.
Диспетчер задач заблокирован - при попытке запуска пишет что файл не найден, но он есть в System32, размер файла такой же, как на обычном PC. Посторонних и скрытых папок на компьютере нет. Просто зашифровано все: тексты, фото, архивы и даже копии самописных сайтов на PHP. В интернетdealinform.rar заходит нормально, на сайт https://www.kaspersky.ru/ так же доступ есть. 

Во вложении файл Procexp.txt - это выгрузка процессов из Process Eplorer (компьютер не перезагружался - может быть что-то еще висеть из явного). Касперского не запускал - решил получить сначала от Вас рекомендации (есть активная лицензия на Kaspersky Anti-Virus (код: Q78TQ-****-****-8U7M1), антивирус не ставился, т.к. бухгалтер жаловалась что базы работают медленно. Если необходимо приобрести лицензию другого продукта Kaspersky - тут вопросов не будет. 
 

Продолжил изучать что с системой: в учетках нашел локальную учетную запись localhost с правами админа, удалить не могу - пишет что "Этому человеку нужно выполнить выход, прежде чем вы сможете удалить его учетную запись". Пользователь добавлен в удаленный доступ. Компьютер явно будут пытаться использовать для атак или еще чего. Попробую убрать этого юзера. 
Локальная оснастка заблокирована, события и прочее посмотреть не могу.

дублирую файл вложения - как-то он в теле сообщения разместился.
dealinform.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Это Thanos, расшифровки нет. Но поскольку есть лицензия, создайте запрос на расшифровку.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    () [Файл не подписан] C:\Users\localhost\Desktop\svchost\svchost.exe
    File: C:\Users\localhost\Desktop\svchost\svchost.exe
    File: C:\Users\Adm\AppData\Roaming\Ground.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    Startup: C:\Users\Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-04-24]
    ShortcutTarget: mystartup.lnk -> C:\Users\Adm\AppData\Local\Temp\RESTORE_FILES_INFO.txt () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\Users\Adm\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    CHR HKU\S-1-5-21-3528414272-356184853-3987300583-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001915 _____ C:\Users\Adm\Desktop\RESTORE_FILES_INFO.hta
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001210 _____ C:\WINDOWS\RESTORE_FILES_INFO.txt
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001210 _____ C:\Users\Adm\Desktop\RESTORE_FILES_INFO.txt
    2021-04-25 08:40 - 2021-04-25 08:40 - 000001210 _____ C:\RESTORE_FILES_INFO.txt
    2021-04-26 12:07 - 2021-04-26 12:07 - 000000000 ____D C:\Users\Adm\AppData\Roaming\Process Hacker 2
    FirewallRules: [{8F7A56A8-EB47-4105-8595-474E9CB1AB33}] => (Allow) LPort=475
    FirewallRules: [{044227BB-767F-4E64-BC0A-7F511244DA1A}] => (Allow) LPort=475
    FirewallRules: [{0533AE70-8F8B-4DEC-AE1A-5999CA6C7DF1}] => (Allow) C:\Users\Adm\AppData\Local\Temp\DriverPack-2019092705117\tools\aria2c.exe => Нет файла
    FirewallRules: [TCP Query User{F6449945-BA7E-4934-A9FE-7666DD9B4B04}C:\users\admin\desktop\soft\wahiver64.exe] => (Allow) C:\users\admin\desktop\soft\wahiver64.exe => Нет файла
    FirewallRules: [UDP Query User{ADB3716F-CAD9-40C5-A535-DD0C61E2B7F2}C:\users\admin\desktop\soft\wahiver64.exe] => (Allow) C:\users\admin\desktop\soft\wahiver64.exe => Нет файла
    FirewallRules: [TCP Query User{A931034C-552B-4045-9000-3578DA007646}C:\users\admin\desktop\soft\wasp.exe] => (Allow) C:\users\admin\desktop\soft\wasp.exe => Нет файла
    FirewallRules: [UDP Query User{B6043889-592A-43A5-8E3E-F3045CBA0DA5}C:\users\admin\desktop\soft\wasp.exe] => (Allow) C:\users\admin\desktop\soft\wasp.exe => Нет файла
    FirewallRules: [TCP Query User{B57A4B28-932D-4486-828B-E47EC4E67A97}C:\users\admin\desktop\soft\waspwing.exe] => (Allow) C:\users\admin\desktop\soft\waspwing.exe => Нет файла
    FirewallRules: [UDP Query User{CB784D46-00A7-486F-A686-7AC06EBB9FCF}C:\users\admin\desktop\soft\waspwing.exe] => (Allow) C:\users\admin\desktop\soft\waspwing.exe => Нет файла
    Reboot:
    End::

 

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

31 минуту назад, Profnight сказал:

К компьютеру был доступ по RDP

Пароль на него смените и пересмотрите всем ли пользователям нужны права администратора.

Ссылка на комментарий
Поделиться на другие сайты

dealinform.rar
обновил архив

сканирование выполнил - результаты в архиве, но ребут из сценария убрал. хочу зайти другую локальную учетку без перезагрузки и посмотреть что там происходит.

Ссылка на комментарий
Поделиться на другие сайты

39 минут назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt)

Не нашел в архиве.

Всё-таки перезагрузите компьютер. Что такого вы хотите найти в другой учетке?

Ссылка на комментарий
Поделиться на другие сайты

под учеткой локалхоста был запущен брут, который судя по всему так же продолжал работать по взлому RDP. файлы с рабочего стола во вложении. в истории файлов есть ссылки на использование файлов (то что в папке localhost - это уже я создавал

Masscan GUI.rar

svchost.rar

вот что было запущено и сам рабочий стол:
 

2.thumb.png.2dbca54bc47ed03271c8533511635445.png

3.png

4.png

1.png

Ссылка на комментарий
Поделиться на другие сайты

Давайте договоримся - вы либо продолжаете самостоятельно, либо выполняете рекомендации. По результатам из отчета Fixlog.txt должен быть ещё один скрипт.

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, Sandor сказал:

Не нашел в архиве.

Всё-таки перезагрузите компьютер. Что такого вы хотите найти в другой учетке?

выше разместил то, что нашел. сейчас еще попробую порыться, может что удастся найти среди удаленных файлов

2 минуты назад, Sandor сказал:

Давайте договоримся - вы либо продолжаете самостоятельно, либо выполняете рекомендации. По результатам из отчета Fixlog.txt должен быть ещё один скрипт.

не спорю - предыдущее сообщение увидел только что, поэтому давайте по рекомендациям. перезагружусь и там посмотрю что будет с файлом Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Только что, Sandor сказал:

Если вы не собираетесь выполнять скрипт из сообщения №2, сообщите. Закроем тему.

перезапустил, жду пока завершится, по готовности отправлю результат.
все что было сделано выше - делалось в ознакомительных целях. считал что для Вас любая информация может быть полезной.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Sandor сказал:

Всё это итак было видно по начальным логам.

 

FRST64.rar

во вложении логи
 


из того, что делалось еще на компе - создана папка пользователя admin, в ней находится исходник брута, что был запущен под localhost и файлы паролей. все бы хорошо, но они тоже зашифрованы, как и все текстовые. если что-то из этого нужно - могу сбросить для изучения:
 

вот список "рабочей" папки, относящейся к взлому компа и шифрованию. 

6.png

7.png.d2be13bb9edf6bbc6e4575d4ebedcc94.png

ответ от шифровальщиков

Изменено пользователем Profnight
Ссылка на комментарий
Поделиться на другие сайты

 

нарыл папочку Keys и RSA с ключами. по дате создания совпадает с датой зашифровки файлов. надеюсь будет полезным

 

Crypto.rar

 

просмотрел логи, полученные согласно пункта 2 (FRST64.rar) = ничего существенного не увидел (может не знаю куда смотреть), ну кроме того, что открыт 475 порт, это возможно порт hasp-ключа от крипто-про или подобного. в остальном, как мне кажется - логи особой смысловой нагрузки для расшифровки не несут. 
ключи RSA, что скинул в предыдущем посте - так же скорее всего не помогут, т.к. они по всей видимости генерируются самой операционкой, возможно как-то это относится к смене пароля операцинки (судя по датам), но к шифрованию отношения не имеют
сканирование диска на предмет удаленных файлов - так же безрезультатно.

можно сказать, что общий осмотр закончен, жду Ваших рекомендаций по дальнейшим действиям. файлы и настройки я не менял и не трогал (ну кроме как те, что относятся к бруту и доступу к PC - эти хвосты конечно же зачистил)
 

Ссылка на комментарий
Поделиться на другие сайты

16 часов назад, Sandor сказал:

Создали? Ответы по возможности расшифровки ждите там. Тут я уже говорил, ничем не поможем.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Sandor сказал:

Создали? Ответы по возможности расшифровки ждите там. Тут я уже говорил, ничем не поможем.

Создал. Все в рамках рекомендаций, которые условился выполнять. 

Я так понимаю, тут тему можно закрывать?

 

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Profnight сказал:

Создал

Результат запроса сообщите здесь, пожалуйста.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • aronone
      От aronone
      Здравствуйте, защитник виндовс нашел Trojan:Win32/Dorv.A , и еще PUABundler:Win32/uTorrent_BundleInstaller и PUADlManager:Win32/OfferCore , поместил в карантин и заблокировал, после проверил куррейтом и ничего не находит. Просьба помочь почистить пк. Вирус появился сразу после подключения к общему гостиничному вай фай, может быть это как то связанно
      cureit.zip CollectionLog-2024.11.30-15.34.zip
    • dext
      От dext
      вчера было все нормально, но сегодня вечером заметил что с пк что-то не так и через доктор веб проверил, было 3 вируса log4j, ещё вирус с торрентом и там ещё один вирус, почистил всё, и потом приходит уведомления от майкрософта дефендерс, я пытался удалить но, я тупо не нашел эти файлы, или удалил их, но пишет все равно эту фигню, и пк все равно не очень работает хорошо, 16 гб оперативы у пк, и я ещё заметил только что, что Log4j не удалился, помогите
       



    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • Остафьево
      От Остафьево
      Подскажите пожалуйста как подключить компьютеры под управление нового сервера администрирования (Security Center 15) при условии что доступа к старому нет.
    • aronone
      От aronone
      Здравствуйте, куррейт нашел на пк вирус Tool.NirCmd.3 , без понятия откуда мог его поймать, хотел бы убедиться, что ничего больше не осталось
      CollectionLog-2024.06.29-14.54.zip cureit29.06.rar
×
×
  • Создать...