Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker , Win32/Filecoder.NSF/SojusZ

1
RSS
Всем доброго дня, словил шифровальщика, в интернете очень мало информации по нему, впервые упоминания датируются начало июня 2022.
Есть предположения что это Cryakl.
Взлом был по RDP - 100%
Прилагаю файлы до и после шифрования.
https://mega.nz/file/j0IXSQYC#mh4SPmRNFkSIX2qBExyIy-t8tE-VM1rBJw6NVYvuFHc

ELC_Logs
https://mega.nz/file/jgpngTab#B69BwGXfYKHKXKStZAKZ5oRfdO36cJkjin-eiCgpwJ4

Понимаю что скорее всего расшифровать нет возможности, но хотелось бы узнать что это за чудо и какой версии.


Содержание письма
Скрытый текст
Спасибо за обращение.
Судя по формату зашифрованного файла "monteryn.ttf.[3eec70e412].[Dungeon Masters].FISTING" - это Sojusz
https://id-ransomware.blogspot.com/2022/02/sojusz-ransomware.html

В последнее время активен, и известны несколько вариантов:
af.zip.[89f625ffde].[BillyHerrington].Gachimuchi
HardwareEvents.evtx.[724e4bcb11].[spanielearslook].likeoldboobs
есть и другие.

Для дополнительного анализа, сделайте пожалуйста лог ESETSysVulnCheck

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.  

Так же при наличие лицензии на продукт ESET Вы можете обратиться в техническую поддержку [email protected]
Файлы и логи, которые необходимы для обращения в ТП
https://forum.esetnod32.ru/forum35/topic16689/
Лог ESETSysVulnCheck
https://mega.nz/file/e9gUTQTI#toM12-rGuXizaD_o1Kqp-I35BxE_bGzYVPHa868b4hA
из подозрительного:
sep=,
Datetime,Service name,Type,File name,Start type,Account
13.07.2022 00:29:22,KProcessHacker3,драйвер режима ядра,C:\Program Files\Process Hacker\kprocesshacker.sys,Вручную,
sep=,
Datetime,Source,Event description
13.07.2022 00:26:10.147,TS - Rmt Conn. Man,"""администратор"" is connecting from IP 26.202.49.230."
sep=,
Datetime,Source,Event description
13.07.2022 00:26:51.609,TS - Lcl Session Man,"""Администратор"" logged in from IP 26.202.49.230."
sep=,
Datetime,Source,Event description
13.07.2022 00:28:39.705,Non-MS Apps,"Application ""WinRAR 5.71 (64-bit)"" was installed."
sep=,
Datetime,Source,Event description
13.07.2022 00:29:21.091,Non-MS Apps,"Application ""Process Hacker"" was installed."
sep=,
Datetime,Source,Event description
13.07.2022 00:29:22.410,Created Services,"Service ""KProcessHacker3"" (драйвер режима ядра) was installed. File Name: ""C:\Program Files\Process Hacker\kprocesshacker.sys"". Start Type: Вручную. Account: n/a"
------------------------
Пользователь должен включить контроль учетных записей (UAC).

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Продукт безопасности ESET не найден.

Аудит событий входа, вероятно, частично (или полностью) отключен.
Чтобы включить его, запустите secpol.msc и в разделе «Локальные политики» -> «Политика аудита» -> «Аудит событий входа» отметьте «Успех» и «Сбой».

Обнаружен инструмент, который мог быть использован хакерами для удаления или отключения ESET:
- Process Hacker (установлен 13.07.2022 00:29:21)

Отсутствуют следующие критические исправления:
- CVE-2021-34527, кодовое название «PrintNightmare» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527)

Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP
- установка пароля для защиты настроек ESET и предотвращения их отключения или удаления посторонними лицами (см. https://support.eset.com/kb6783/)
- включение системы ESET LiveGrid Feedback
- включение обнаружения потенциально небезопасных приложений (см. https://support.eset.com/kb6795/)
Здравствуйте, Произошла атака с шифрованием по типу ***.[***].[Dungeon Masters].FISTING. На одном компьютере осталась программа-шифратор (попробовали её запустить на виртуальной машине и она действительно всё шифрует), есть ли смысл её выкладывать здесь с целью попытки реализации дешифратора, или она ничего не даст?
Изменено: Max V - 18.07.2022 13:42:29
Цитата
Max V написал:
есть ли смысл её выкладывать здесь с целью попытки реализации дешифратора, или она ничего не даст?
Пришлите, пожалуйста, файл шифровальщика в почту [email protected], в архиве, с паролем infected, с шифрованием имен файлов.

Если необходим анализ ПК, который предположительно был атакован из внешней сети, сделайте пожалуйста на этом устройстве лог  ESETSysVulnCheck:

Цитата
Для дополнительного анализа, сделайте пожалуйста лог ESETSysVulnCheck

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.  

Если Вы являетесь пользователем ESET, Вы можете создать обращение в техническую подддержку [email protected] и предоставить следующие файлы для анализа:
https://forum.esetnod32.ru/forum35/topic16689/
1
Читают тему (гостей: 1)