Вход
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 1642 След.
dipladoks.org, Вероятный вирус не обнаруживается антивирусом
 
santy
santy
Администратор
Сообщений: 16563
Баллов: 13250
Регистрация: 16.03.2010
Размещено 01.04.2019 07:29:56
@Евгений Галишинский,

добавьте образ автозапуска системы
Перейти
Файлы зашифрованы с расширением .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun, Filecoder.Crysis / Encoder.3953; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 16563
Баллов: 13250
Регистрация: 16.03.2010
Размещено 01.04.2019 04:35:49
@Andrei Balan ,
добавьте образ автозапуска системы,
возможно в системе остались еще файлы шифратора
+
добавьте несколько зашифрованных файлов в архиве
Перейти
возможно, WannaCash
 
santy
santy
Администратор
Сообщений: 16563
Баллов: 13250
Регистрация: 16.03.2010
Размещено 31.03.2019 15:34:04
[QUOTE]Deonis Andersen написал:
У меня подарочная лицензия и как я понял могу писать только на форум[/QUOTE]
на форум можно писать и без лицензии.
в support@esetnod32.ru имеет смысл написать еще и потому что у вас запросят специализированный лог ESET log collector с пострадавшей машины для вирлаба, помимо сэмпла и зашифрованных файлов. Сколько по времени этот процесс продлится, возможно 2-3 недели, если расшифровка станет возможной. Если вы заинтересованы в восстановлении зашифрованных документов, то стоит искать решение по нескольким направлениям.
Перейти
возможно, WannaCash
 
santy
santy
Администратор
Сообщений: 16563
Баллов: 13250
Регистрация: 16.03.2010
Размещено 31.03.2019 12:53:47
@Deonis Andersen,

по расшифровке файлов напишите в support@esetnod32.ru при наличие лицензии на продукт ESET

пока что неясно, есть расшифровка файлов по данному варианту или нет. Как будет больше информации, отвечу в этой теме.
Перейти
возможно, WannaCash
 
santy
santy
Администратор
Сообщений: 16563
Баллов: 13250
Регистрация: 16.03.2010
Размещено 31.03.2019 03:07:07
[QUOTE]Deonis Andersen написал:
Записки о выкупе нет, но есть само тело вируса. Если надо могу предоставить.[/QUOTE]
загрузите этот файл на https://www.hybrid-analysis.com/ для анализа с предоставлением доступа,
и дайте ссылку на тему анализа (когда он завершится) в личные сообщения

результат проверки:
https://www.virustotal.com/gui/file/168b7f0d1953f42adeabd744538c07a3bb24f6acef24458­b31fd1c29410cd631/detection

https://app.any.run/tasks/175b00d9-0858-474e-afaf-854ba032e66e
Перейти
возможно, WannaCash
 
santy
santy
Администратор
Сообщений: 16563
Баллов: 13250
Регистрация: 16.03.2010
Размещено 30.03.2019 18:10:16
@Deonis Andersen,

добавьте образ автозапуска системы
+
несколько зашифрованных файлов в архиве,
+
записку о выкупе, если есть в системе.
Перейти
Не перевелись еще Petya Ransomware на Руси
 
santy
santy
Администратор
Сообщений: 16563
Баллов: 13250
Регистрация: 16.03.2010
Размещено 30.03.2019 14:36:28
Сразу скажу, что спасти систему и документы не получилось, пользователь переустановил систему. А спасти было возможно.

Судя по источнику угрозы - это был Petya Ransomware,

[quote]DrWeb: Trojan.Ransom.369
ESET-NOD32: Win32/Diskcoder.Petya.A
Malwarebytes: Ransom.Petya
Kaspersky: Trojan-Ransom.Win32.Petr.a
[/quote]
https://www.virustotal.com/gui/file/26b4699a7b9eeb16e76305d843d4ab05e94d43f32014369­27e13b3ebafa90739/detection

после проверки на VM, оказалось что это классический Petya Ransomware (вариант Red) загруженный из бескрайних просторов сети. С этим вариантом распрощались еще [url="https://blog.malwarebytes.com/malwarebytes-news/2017/07/bye-bye-petya-decryptor-old-versions-released/"][b]два года назад[/b][/url], в связи с тем, что автором JanusSecretary (или авторским коллективом) были сданы мастер-ключи.

[img]https://chklst.ru/uploads/editor/yn/bo7904l61rui.jpg[/img]

На сегодня есть несколько надежных методов спасти систему и документы после подобной атаки.

во первых, это инструменты [b]hack-petya[/b] от [b]leo-stone[/b], которые применимы к Petya Red:
https://github.com/leo-stone/hack-petya/releases/tag/v2.0.1

во вторых, это загрузочный диск [b]antipetya_ultimate[/b] от [b]hasherezade[/b], который так же работает для случая Red
https://github.com/hasherezade/petya_key/releases/download/0.2/antipetya_ultimate.iso

в третьих, это инструменты [url="https://github.com/hasherezade/petya_key/releases/download/0.2/petya_key_v0.2_win32.zip"][b]petya_key[/b][/url] от [b]hasherezade[/b] для получения ключа по известному уникальному идентификатору (в данном случае был [code]e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN)[/code]), который содержится на экране ввода ключа, а так же может быть извлечен из из первых 64 секторов системного диска.

Чтобы извлечь нужные 64сектора диска используем загрузочный Winpe + инструментарий [url="https://dmde.ru/download.html"]DMDE[/url]
[quote]DMDE поддерживает файловые системы NTFS/NTFS5, FAT12/16, FAT32, exFAT, Ext2/3/4, HFS+/HFSX, ReFS (Beta) и работает в Windows 98/..XP/..7/..10, Linux, macOS, DOS (консольный интерфейс).
[/quote]
для [b]hack-petya[/b] можно собрать информацию с помощью утилиты от Фабиана Восара [url="http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip"][b]PETYAEXTRACTOR.EXE[/b][/url]:
---------
для получения ключа, я использовал второй и третий методы, простой и сложный.

[i]по второму методу:[/i] можно загрузиться с antipetya_ultimate и далее, следуя подсказкам ввести необходимые команды и параметры, и автоматически получить ключ для расшифровки MFT.
[img]https://chklst.ru/uploads/editor/74/3u14thi2l043.jpg[/img]

по третьему методу: можно использовать простой путь: получить скриншот экрана, содержащего идентификатор, преобразовать изображение в plain text, выделить блок с идентификатором, [url="http://foxtools.ru/Text"][b]преобразовать в нужную кодировку[/b][/url] ANSI Win 1251(если текст с online сервиса был получен, например, в UTF-8),
далее, блок сохраняем в файл ID.txt и используем для получения ключа в petya_key:

[code]petya_key.exe ID.txt >>key.txt[/code]

[quote]Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: Victim file: id.txt
[*] [+] Victim ID: e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN
---
[+] Your key : [b]GES27jh1Evud5HCs[/b][/quote]

однако, этот метод сработает, если распознание рисунка будет на 100% безошибочным. Ошибка с распознанием хотя бы одного символа приведет к ошибке с получением ключа. А визуально, найти ошибку будет непросто.

Надежнее, таки загрузиться с Winpe, скопировать с 0 по 63 секторы проблемного жесткого диска, сохранить в файл *.bin с последующим извлечением (можно использовать hex-редакторы: Winhex или xwforensics) необходимого идентификатора.

[img]https://chklst.ru/uploads/editor/b1/722308duqybd.jpg[/img]

Замечает, что после ввода правильного ключа идет процесс расшифровки.

[img]https://chklst.ru/uploads/editor/5o/1nq1c48mpt2v.jpg[/img]

Интересно, что по первому методу от[b] leo-stone[/b], ключ так же был вычислен (и успешно применен для расшифровки диска), но с некоторым отличием от метода [b]hasherezade[/b].
[code]
GxSx7xhxExux5xCx: hack-petya от leo-stone
GES27jh1Evud5HCs: petya_key от hasherezade
[/code]
остается добавить, что веб-генератор ключа, созданный leo-stone по адресам :
[b]petya-pay-no-ransom.herokuapp.com[/b] и [b]petya-pay-no-ransom-mirror1.herokuapp.com[/b]
спустя некоторое время прекратил работу, поэтому для получения ключа применяем им же созданную офлайновую утилиту hack-petya. И здесь есть некоторый нюанс. PetyaExtractor (F.Wosar) создавал файлики src.txt и nonce.txt в base64 кодировке (для веб-генератора ключа), а для офлайновой утилиты необходимо эти же данные предварительно [url="https://www.base64decode.org/"]декодировать из base64[/url].

[code]hack-petya.exe >>key.txt[/code]
результат:
Скрытый текст
-------------

-------------
(с), chklst.ru
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 16563
Баллов: 13250
Регистрация: 16.03.2010
Размещено 29.03.2019 09:38:12
[B]актуальная тема "Уничтожить dllhostex.exe"[/B], спасибо Кузнецову Дмитрию (и uVS) за помощь в решение этой проблемы.

по этой эпидемии WannaMine4.0  обзор:

[QUOTE]Attack Procedure:

   The DLL file ApplicationNetBIOSClient.dll is corresponding to the service ApplicationNetBIOSClient and loaded through the executable svchost.exe. Every time it starts upon system startup, another executable spoolsv.exe is loaded.
   Then spoolsv.exe scans the local area network on port 445 to find target hosts and starts the vulnerability exploit program svchost.exe and spoolsv.exe. Svchost.exe performs [B]EternalBlue[/B] butter overflow attacks against the hosts targeted in Step 2.
   Upon successful intrusion, spoolsv.exe (a NSA-linked exploit kit,[B] DoublePulsar[/B]) installs backdoor and malicious payload (x86.dll/x64.dll).
   The payload (x86.dll/x64.dll) is executed to duplicate rdpkax.xsl from local host to target host, decompress the file, register ApplicationNetBIOSClient service and start spoolsv to perform attacks. Each host is infected in the above ways, step by step.[/QUOTE]


[QUOTE]Одно из отличий заключается в том, что оригинальный сжатый пакет заменен на rdpkax.xsl, набор эксплойтов, который содержит все компоненты для выполнения атак. Как и в предыдущей версии 3.0, этот вариант также использует методы уклонения от вирусов. rdpkax.xsl - это специальный пакет данных, для которого требуется, чтобы вариант расшифровывал себя и разделял его компоненты, включая набор эксплойтов EternalBlue (svchost.exe, spoolsv.exe, x86.dll / x64.dll и т. д.), которые хранятся в следующие каталоги:
C: \ Windows \ System32 \ rdpkax.xsl
C: \ Windows \ System32 \ dllhostex.exe
C: \ Windows \ System32 \ ApplicationNetBIOSClient.dll
C: \ Windows \ SysWOW64 \ ApplicationNetBIOSClient.dll
C: \ Windows \ SysWOW64 \ dllhostex.exe
C: \ Windows \ NetworkDistribution[/QUOTE]

https://www.sangfor.com/source/blog-network-security/1201.html

+
Хакер.ру о WannaMine

[QUOTE]В начале 2018 года многие ИБ-компании и независимые эксперты предупреждали о появлении майнингового ботнета, который использует зараженные хосты для добычи криптовалюты Monero. По данным специалистов, тогда было скомпрометировало от 500 000 до 1 000 000 машин, а операторы малвари «заработали» порядка 8900 Monero (около 2 млн долларов по курсу на тот момент).

Данная малварь получила название WannaMine, которое угрозе дали специалисты компании CrowdStrike. Разумеется, параллель с WannaCry неслучайна. Дело в том, что для распространения малварь использует эксплоиты EternalBlue (CVE-2017-0144) и EsteemAudit (CVE-2017-0176), направленные против уязвимых Windows-машин. Названия этих эксплоитов хорошо знакомы не только ИБ-специалистам, но даже рядовым пользователям, так как именно EternalBlue весной 2017 года применялся для распространения нашумевшего шифровальщика WannaCry.[/QUOTE]

https://xakep.ru/2018/09/17/wannamine-alive/
Перейти
[ Закрыто] Блокировка антивирусов, сайтов
 
santy
santy
Администратор
Сообщений: 16563
Баллов: 13250
Регистрация: 16.03.2010
Размещено 29.03.2019 05:49:04
[B]используем tnod[/B]
C:\PROGRAM FILES (X86)\TNOD\TNODUP.EXE
по правилам нашего форума, помощь пользователям, которые используют взлом антивируса, не оказывается.
тема будет закрыта.
обращайтесь за помощью на другой форум.
Перейти
Eset Edndpoint Antivirus 7.0.2100.4 - локальная сеть не доступна, Eset Edndpoint Antivirus 7.0.2100.4 - локальная сеть не доступна
 
santy
santy
Администратор
Сообщений: 16563
Баллов: 13250
Регистрация: 16.03.2010
Размещено 27.03.2019 11:12:18
[QUOTE]Sergiu Copacean написал:
Был установлен Symantec Endpoint. По поводу локализации - не совсем понимаю что Вы имеете ввиду.. Если это страна - то Республика Молдова.[/QUOTE]
+
вопрос: антивирусные продукты установлены вручную, или через консоль управления в ESET Security Management Center (ESMC)?
Перейти
Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 1642 След.