Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

1 2 3 4 5 ... 8 След.
RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.04.2019 12:20:40
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 23.04.2019 11:48:51
Второй раз за месяц ловлю шифровальщика, email  - .[[email protected]]
Порты с мира все закрыты, нечего не проброшено в сеть. Шифрует только одну машину с Win2008 R2 и все сетевые расшареные папки. Расскатал копию файлов по быстрому, файлы зашифрованые не сохранял, благо копия есть. Помогите пожалуйста вычислить дырку откуда оно залазит. С установленного это сама система с последними обновлениями, 1С, Medoc, Acronis ну и nod32 file security. Поднят сервер терминалов. Вчера уходили все отлично было. Как найти дырку через которую оно лезет(
С чего начать?
Изменено: Сергей Жало - 23.04.2019 13:16:17
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.04.2019 12:03:28
Сергей,
надо таки знать, какой это был шифратор. ((наличие одной почты вымогателя - слишком мало информации, чтобы сделать вывод).
Как он распознается антивирусными компаниями, какие расширение было у зашифрованных файлов.
Если установлен антивирус, то возможно в логах журнала угроз есть информация,
добавьте лог журнала угроз
+
добавьте образ автозапуска системы
+
сделайте лог по проверке уязвимостей.
Цитата
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.04.2019 12:24:41
как минимум, известно три случая, когда шифрование было по причине установленного MeDOC: *.repairfiles365@gmail_com, ~xdata~, NotPetya
может опять через его обновление что-то проникает и запускается в системе?
проверьте так же время начала шифрования, кто авторизовался на сервере терминалов примерно в это время, какие пароли (надежные, слабые) установлены на аккаунтах, входящих в группу RDP на указанном сервере, настроены ли политики безопасности для защиты от перебора пароля к этим учеткам (блокировать после трех неверных вводах пароля)
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 23.04.2019 12:26:16
Файлы по шифровало с расширением *.id-EF.[[email protected]].ldpr
Загрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)
Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwn
Образ автозапуска пока делается, выложу логи вместе с  SecurityCheck by glax24 & Severnyj и журналом.
Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 23.04.2019 12:36:19
SecurityCheck by glax24 & Severny отказался запускаться на Win 2008 x64
Логи eset
Образ автозапуска
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.04.2019 12:56:59
Сергей,

судя по логу серверные данные пострадали от шифратора Crysis c расширением LDPR
очистка файлов сработала только сегодня. 23.04.2019 3:08:23
отсюда можно предположить, что взлом был из внешней сети.
либо подобрали пароль во время атаки к какой либо учетной записи, либо, предварительно эти данные были у злоумышленников
на руках на момент атаки. (ранее провели всю подготовительную работу, или купили доступ к учетной записи на черном рынке,
увы и такое возможно сейчас. разделение труда)

Цитата
="Время">23.04.2019 3:08:23</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Тип объекта">файл</COLUMN>
<COLUMN NAME="Объект">Оперативная память = C:\Users\alina\Videos\notepad.exe</COLUMN>
<COLUMN NAME="Обнаружение">модифицированный Win32/Filecoder.Crysis.P троянская программа</COLUMN>
<COLUMN NAME="Действие">очищен</COLUMN>
<COLUMN NAME="Пользователь"/>
<COLUMN NAME="Информация"/>
<COLUMN NAME="Хэш">CA83FFE07145A9CDD53AD45A61E1CF46C7BC2AA8</COLUMN>­

Цитата
<COLUMN NAME="Время">23.04.2019 7:06:46</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Тип объекта">файл</COLUMN>
<COLUMN NAME="Объект">c:\users\alina\videos\notepad.exe</COLUMN>
следуют как минимум,
поменять все пароли к учетным записям на более сложные,
установить политику защиты паролей от перебора,
запретить доступ из внешней сети к серверу, за исключением только доверенных ip
------------
образ сейчас посмотрю.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.04.2019 13:00:50
1. предположительно, была взломана эта учетная запись
C:\USERS\ALINA\APPDATA\ROAMING\INFO.HTA

2. возможно, что антивирус (если был установлен на момент атаки) был отключен на момент запуска, потому что этот вариант Crysis детектируется уже давно, проверьте, возможно ли это, чтобы под учетной записью пользователя, можно было отключить антивир.
(установлен ли пароль защиты доступа к настройкам антивируса, работают ли обычные пользователи на терминальном сервере с правами администратора - если это  так, то надо у них эти права отнять, и настроить их работу под обычными правами)


3. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR
delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[[email protected]].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.04.2019 13:14:50
Цитата
Сергей Жало написал:
Файлы по шифровало с расширением *.id-EF.[ [email protected] ].ldprЗагрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwnОбраз автозапуска пока делается, выложу логи вместе с SecurityCheck by glax24 & Severnyj и журналом.Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?

да, можно и с него.
но имейте ввиду, предположительно атака была в воскресение,
(судя по темам на других форумах, поэтому и образ может быть уже зараженным).
по мерам безопасности, я расписал выше.
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 23.04.2019 14:20:51
Цитата
santy написал:
да, можно и с него.но имейте ввиду, предположительно атака была в воскресение, (судя по темам на других форумах, поэтому и образ может быть уже зараженным).по мерам безопасности, я расписал выше.


Расскатывается образ, как заончит сделаю и сделаю свежие логи.
Вот пока сделал логи той машины на которой пользователь вышеуказанный работает. Ссылка
Получается с под нее через буфер на сервер вошло. Блок паролей стоял, но пароли слабые(
 
1 2 3 4 5 ... 8 След.
Читают тему