Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
"As you can see we have penetrated your whole network due some critical network insecurities All of your files such as documents, dbs and... Are encrypted and we have uploaded many important data from your machines, and believe we us we know what should we collect.
However you can get your files back and make sure your data is safe from leaking by contacting us using following details :
Primary email :
Secondary email(backup email in case we didn't answer you in 24h) :
Your machine Id : NISsdNg7kCd00XYU use this as the title of your email
(Remember, if we don't hear from you for a while, we will start leaking data)"
Сделайте, пожалуйста, логи в зашифрованной системе: (для поиска возможного тела шифровальщика) образ автозапуска системы
логи FRST
SysvulnCheck "SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)
Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Прокси ваш? хттп://34.80.59.191/WIN.PAC в hosts сами блокировали адреса антивирусных ресурсов? например: 0.0.0.0 malwarebytes.com Антивирус 360 поставили уже после шифрования? (судя по файлам - дата шифрования 17.02.2023)
Судя по логу ESVC:
влом учетки Администратор? очистка журналов от 20.02.2023 или это уже постреакция после шифрования?
sep=, Datetime,Source,Event description 20.02.2023 20:16:06.802,Windows Event Log,"Log ""Windows PowerShell"" was cleared by 1CSRV\Администратор." 20.02.2023 20:16:06.786,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/OperationalVerbose"" was cleared by 1CSRV\Администратор." 20.02.2023 20:16:06.786,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/Operational"" was cleared by 1CSRV\Администратор." 20.02.2023 20:16:06.645,Windows Event Log,"Log ""System"" was cleared by 1CSRV\Администратор." 17.02.2023 22:15:01.620,Non-MS Apps,"Application ""Adobe Acrobat Reader - Russian"" was installed." 17.02.2023 19:27:37.615,Non-MS Apps,"Application ""Port Locker"" was installed." 17.02.2023 19:27:37.615,Non-MS Apps,"Application ""Total Commander 64-bit (Remove or Repair)"" was installed." ------------------ Аутентификация на уровне сети отключена. Чтобы включить его, щелкните правой кнопкой мыши Этот компьютер (или компьютер) -> Свойства -> Настройки удаленного доступа и установите флажок «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети».
Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
Некоторые важные системные журналы были очищены. Имя журнала Очищено Система 20.02.2023 20:16:06 Windows PowerShell 20.02.2023 20:16:06
Продукт безопасности не найден на момент шифрования.
Журналы событий безопасности охватывают лишь небольшой период времени (менее суток). Журналы либо были очищены злоумышленником, либо размер журнала событий слишком мал. Рассмотрите возможность увеличения размера журнала событий (eventvwr.msc -> Журналы Windows (левая панель) -> Безопасность -> Свойства (правая панель) -> Максимальный размер журнала (введите новое значение)). Мы рекомендуем как минимум утроить текущий Максимальный размер журнала.
Была проведена атака грубой силы с удаленной машины (машин): - у administrator было 13 052 неудачных попытки входа в систему - У ADMINISTRATOR была 7 991 неудачная попытка входа в систему. - У ADMIN было 4 357 неудачных попыток входа в систему. - У Administrator было 442 неудачных попытки входа в систему.
Могут отсутствовать следующие критические исправления: - CVE-2021-34527, кодовое название «PrintNightmare» ()
Мы рекомендуем: - регулярное резервное копирование важных данных для предотвращения потери данных - ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо - использование надежного пароля пользователями с доступом по RDP
RP55, до чистки еще дойдем, как только будут ответы на вопросы. ------------ 0HTTP://34.80.59.191/WIN.PAC C:\USERS\АДМИНИСТРАТОР.WIN-1O899I2GF2V\APPDATA\LOCAL\BROWSERUPDPHENIX\BROWSERUPDPHENIX.EXE C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Георгий Терентьев написал: В дальнейшем будет достаточно скопированных данных?
желательно, чтобы к зашифрованным файлам были чистые пары (несколько пар, лучше если это офисные документы или рисунки) + эти файлы так же сохраните: #BlackHunt_ReadMe.hta #BlackHunt_Private.key #BlackHunt_Public.key #BlackHunt_ID.txt --------- по расшифровке данного типа шифровальщика пока нет информации почта злоумышленников была засвечена в шифровальщике FONIX/RYUK Primary email :[email protected] но здесь другой тип, не похоже на FONIX
Информация о Blackhunt в энциклопедии шифровальщиков от Амиго-А
Не могу пояснить по hosts, сами ничего не блокировал
Антивирус 360 поставили уже после шифрования
Скорей всего, что взломали учёту Администратора, так как был случай когда меня выкинуло, что кто-то зашел. Хотя ни кто не заходил кроме меня Очистку журналов от 20.02.2023 не делал. Возможно это Cclean или другие программы, которыми пытался удалить вирус
В настоящий момент договор с арендой удаленного сервера прекращен. на основании договора нам собрали машину, подключили к интернету и предоставили к ней доступ
На момент шифрования антивирусов установлено не было.
Сейчас все данные скопированный на переносной носитель, в надеже что их расшифруют.
Если очистка системы не нужна (была заражена ), то остается ждать новой информации по данному шифровальщику. На текущий момент расшифровки по BlackHunt нет.
