Файлы зашифрованы с расширением .Loki; .Blackbit , Loki.Locker

RSS

Сообщений: 2

Баллов: 1

Регистрация: 13.01.2022

Размещено 13.01.2022 13:14:17

Здравствуйте.

Терминальный сервер поймал шифровальщика. Зашифровалось все, что можно и нельзя, включая базы и бэкапы.
Прошу, помогите!!!
Вход в систему невозможен: не найден профиль пользователя. Загрузился с USB. Тела вируса не нашел. Прилагаю связку зашифрованный файл - оригинал. И сообщение от бандитов.
Пытались связаться с гражданами-бандитами по указанным адресам - ответа нет.

Прикрепленные файлы

Restore-My-Files.txt (272 Б)
Пара зашифрованный - оригинал.rar (4.71 КБ)

Ответы

Пред. 1 2 3 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2023 02:33:41

Добавьте, пожалуйста, несколько зашифрованных файлов в архиве+записку о выкупе.
Если найдено тело шифровальщика добавьте в архив Filecoder с паролем infected, пришлите архив в почту [email protected]

Сделайте, пожалуйста, логи в зашифрованной системе: (для поиска возможного тела шифровальщика)
1. образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/
2. логи FRST
https://forum.esetnod32.ru/forum9/topic2798/
3. Соберите лог ESETLogCollector
скачать программу отсюда:
текущая версия - v4.3.0.0 (14.07.2021)
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcollector.exe

Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").

В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.

4.SysvulnCheck
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 06.04.2023

Размещено 07.04.2023 05:22:42

Выслал filecoder на [email protected] ,

+ логи здесь

Прикрепленные файлы

efsw_logs.zip (619.22 КБ)

Сообщений: 9

Баллов: 4

Регистрация: 06.04.2023

Размещено 07.04.2023 05:25:51

+зашифр. файлы

Прикрепленные файлы

crypted.rar (104.27 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2023 06:11:15

Цитата
Владимир Горячев написал: Выслал filecoder на [email protected] , + логи здесь

по детекту- это все таки FileCoder.LokiLocker (не Phobos, конечно, как детектируется записка о выкупе):
E7A44AD48CBE884AFC4DAFB917F5445C9994F29C.NDF "C:\svchost.exe";"C:\Documents and Settings\All Users\Application Data\winlogon.exe";"C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\winlogon.exe";"C:\Documents and Settings\Администратор\Application Data\winlogon.exe";"C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\winlogon.exe" "@NAME=MSIL/Filecoder.LokiLocker.D@TYPE=Trojan@SUSP=mod" 06.04.2023 532480 bytes

Пришлите, пожалуйста, один из файлов (который winlogon.exe) из карантина, в архиве, с паролем infected в почту [email protected]
(этот файл не попал в архив filecoder, там только записка о выкупе)
+
нужен лог ESETSysVilnCheck для анализа проникновения на ваше устройство.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 06.04.2023

Размещено 07.04.2023 13:52:18

выслал winlogon.7z
+ логи

Esvc запускал на другом сервере -64x (win 2012), тк на x86 программа не запустилась (оба заразились вместе).
winlogon с сервера x86 (win 2003 R2)

Прикрепленные файлы

ESVC_PKY_20230407162638.zip (1.05 МБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2023 00:59:09

по детекту шифровальщика:
https://www.virustotal.com/gui/file/b8ffd72534056ea89bfd48cbe6efb0b4d627a6284a7b763fdb7dfd070c1049ba/detection

К сожалению, по LokiLocker на текущий момент нет расшифровки. Сохраните важные зашифрованные документы на отдельный носитель,
возможно в будущем расшифровка станет возможной.

судя по логу ESVC возможно проникновение было на другой сервер, а шифрование на PKY было только по расшаренным каталогам, т.е. с другого устройства.

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Пользователь должен выполнить обновление до ESET Server Security для Microsoft Windows Server версии 8.0 (https://www.eset.com/int/business/download/file-security-windows/).

Аудит событий входа, вероятно, частично (или полностью) отключен.
Чтобы включить его, запустите secpol.msc и в разделе «Локальные политики» -> «Политика аудита» -> «Аудит событий входа» отметьте «Успех» и «Сбой».

Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP
- установка пароля для защиты настроек ESET и предотвращения их отключения или удаления посторонними лицами (см. https://support.eset.com/kb6783/)
- включение системы ESET LiveGrid Feedback
- включение обнаружения потенциально небезопасных приложений (см. https://support.eset.com/kb6795/)

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 06.04.2023

Размещено 09.04.2023 08:38:35

Большое спасибо за помощь.
По инф.от safety@ - троян из внешней сети по RDP, т.е. проникновение могло быть на одно устройство,
а далее злоумышленник смог проникнуть на другие узлы, или зашифровать доступные расшаренные каталоги.
- Подтверждаю, так и произошло.

По последствиям осталось несколько вопросов -
1. по использованию rdp
доступ определен правилами- файл rules.txt
Проникновение могло обойти эти правила ?
Есть ли инф. по какому порту прошло проникновение ?
Требуется что-то изменить ?
2. по дешифрации -
Отложить пораженные файлы *.loki + файл в корне диска cpriv.loki ,
этого достаточно ?
3. по восстановлению windows -
я правильно понял, что в отсутствие дешифрации файлов политик домена,
файлов системы типа winlogon и др. , надо переставлять операционку ?
Удаление файлов из карантина eset переносит их в корзину ?

Прикрепленные файлы

rules.txt (643 Б)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.04.2023 00:59:14

по файлу rules - это правила откуда? с маршрутизатора или с фаервола ESET FILE SECURITY?
по rdp - судя по файлу rules, здесь нет явного запрета на подключение по RDP (если порт 3389)
по расшифровке:
необходимо сохранить копии зашифрованных важных файлов и документов+Cpriv.Loki+Restore-My-Files.txt
по восстановлению системы: сервер 2003 - это ваш контролер домена? с доступом из внешней сети интернет?
файлы winlogon.exe которые добавлены в карантин не являются системными файлами, это файл шифровальщика.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 06.04.2023

Размещено 10.04.2023 06:13:35

по файлу rules - это правила с маршрутизатора keenetic , фаервол ESET FILE SECURITY не настраивался.
RDP ( порт 3389) используется админом со сложным паролем для доступа к сервер 2003, это один из контролеров (тип DC).
На этом сервере имеется файловый доступ к нескольким расшаренным папкам сервера 2012 (AD, основной контролер типа GC),
кот. были поражены шифровальщиком. Также на сервере 2012 поражены файлы групповой политики домена.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.04.2023 09:00:58

Цитата
Владимир Горячев написал: по файлу rules - это правила с маршрутизатора keenetic , фаервол ESET FILE SECURITY не настраивался.RDP ( порт 3389) используется админом со сложным паролем для доступа к сервер 2003, это один из контролеров (тип DC).

получается на RDP доступ открыт из внешней сети, т.е. возможны подключения из любого сегмента Интернет. возможно смогли получить доступ используя уязвимость системы.
Проверьте, не были ли созданы левые учетные записи с правами Администратора

Если смотреть по журналу угроз:

Цитата
06.04.2023 6:39:59 Real-time file system protection file C:\Documents and Settings\Администратор\Главное меню\Программы\Restore-My-Files.txt Win32/Filecoder.Phobos trojan deleted TCOM\Администратор Event occurred during an attempt to access the file by the application: C:\WINDOWS\explorer.exe (AA4213344DD3C4B0EBF1E699423CFE6D384B87D3). B470A8935FD24B99972D6490E836BA6C12557300 05.04.2023 23:06:35 06.04.2023 4:13:28 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B 06.04.2023 4:13:28 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B 05.04.2023 16:06:37 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B 05.04.2023 16:06:37 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B 05.04.2023 16:04:41 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B 05.04.2023 16:04:38 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B

Цитата

06.04.2023 6:39:59 Real-time file system protection file C:\Documents and Settings\Администратор\Главное меню\Программы\Restore-My-Files.txt Win32/Filecoder.Phobos trojan deleted TCOM\Администратор Event occurred during an attempt to access the file by the application: C:\WINDOWS\explorer.exe (AA4213344DD3C4B0EBF1E699423CFE6D384B87D3). B470A8935FD24B99972D6490E836BA6C12557300 05.04.2023 23:06:35
06.04.2023 4:13:28 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B
06.04.2023 4:13:28 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B
05.04.2023 16:06:37 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B
05.04.2023 16:06:37 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B
05.04.2023 16:04:41 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B
05.04.2023 16:04:38 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B

Судя по журналу обновлений, были проблемы с обновлением продукта на этом сервере.

06.04.2023 11:13:31 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
06.04.2023 9:13:30 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
06.04.2023 7:13:31 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
06.04.2023 5:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
05.04.2023 5:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
05.04.2023 3:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
05.04.2023 1:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 23:13:08 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 21:13:11 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 19:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 17:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM

и достаточно давно
07.03.2023 17:14:18 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
07.03.2023 15:14:14 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
07.03.2023 13:14:17 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
------------
файл детектировался уже в памяти после запуска (в AMS), не сигнатурно, скорее всего продукт давно не обновляется, так что сигнатуры не было для блокирования запуска шифровальщика MSIL/Filecoder.LokiLocker.D trojan

[ Как создать образ автозапуска? ]

Пред. 1 2 3 След.

Файлы зашифрованы с расширением *.Loki; *.Blackbit , Loki.Locker

Ответы

Файлы зашифрованы с расширением .Loki; .Blackbit , Loki.Locker