файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

RSS

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.11.2018 09:09:55

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 4 5 6 7 8 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.05.2019 15:48:00

Цитата
Айдар Билалов написал: Доброго времени суток! Нужна ваша помощь!

по очистке системы:
(
в системе еще активен, скорее всего майнер (или агент), который прописан в автозапуск
192.168.2.42:64445 <-> 46.17.175.28:443
HKEY_USERS\S-1-5-21-3749085011-2254468566-2580908841-1001\Software\Microsoft\Windows\CurrentVersion\Run\Host Process for Windows Tasks
)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v4.1.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-15E3731A.[[email protected]].ADOBE delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.7_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\SVCHOST.EXE addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DA1CEEFD2BA42FC7062073 55 Trojan:Win32/Azden.A!cl [Microsoft] 7 chklst delvir ;------------------------autoscript--------------------------- apply deltmp CZOO QUIT

Код


;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-15E3731A.[[email protected]].ADOBE
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.7_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\SVCHOST.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DA1CEEFD2BA42FC7062073 55 Trojan:Win32/Azden.A!cl [Microsoft] 7

chklst
delvir

;------------------------autoscript---------------------------

apply

deltmp
CZOO
QUIT

без перезагрузки,
пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправьте в почту [email protected], [email protected]

по расшифровке:
судя по детектированию зашифрованного файла на ID Ransomware (а так же по наличию записок о выкупе info.hta и FILES ENCRYPTED.txt), это все таки Crysis (не Phobos)

Цитата
Опознан как sample_extension: .id-<id>.[<email>].adobe ransomnote_email: [email protected] sample_bytes: [0x9A0 - 0x9E0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000 custom_rule: Original filename "account.xml" after filemarker

------------
https://id-ransomware.malwarehunterteam.com/identify.php?case=b6e833e5a843e5d7cc60b0291d3acb4790445a7b
вы можете добавить лог обнаружения угроз, чтобы видеть все реакции установленного антивируса.

с расшифровкой файлов не сможем помочь,
восстановление в вашем случае возможно только из архивных копий и бэкапов.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.05.2019 16:01:00

Цитата
RP55 RP55 написал: Айдар Билалов1) После завершения лечения Антивирус нужно обязательно обновить. ( и всегда следить за актуальностью версий )У вас: 4.5.12017.0Актуальная версия: 5 7

имеет смысл перейти на актуальные версии ESET File Security, (6.5 или 7.0) поскольку поддержка версии 4.5 уже прекращена.

Код
ESET File Security for Microsoft Windows Server Version Release Date Latest build Updated Status Next Status Expected EOL 7.0 16-Aug-18 7.0.12018.0 29-Jan-19 Full Support Limited Support TBA 6.5 28-Feb-17 6.5.12018.0 28-Aug-18 Full Support Limited Support TBA 6.4 7-Sep-16 6.4.12004.0 30-Nov-16 Full Support Limited Support TBA 6.3 2-Mar-16 6.3.12006.0 19-May-16 Limited Support Basic Support TBA 6.2 25-Feb-15 6.2.12007.0 3-Sep-15 Limited Support Basic Support TBA 6.0 11-Dec-14 6.0.12035.0 Limited Support Basic Support TBA 5 N/A N/A N/A N/A N/A N/A 4.5 7-Feb-12 4.5.12017.0 5-Aug-15 End of Life End of Life 4.3 18-Oct-11 4.3.12014 End of Life End of Life

Код

ESET File Security for Microsoft Windows Server
Version    Release Date    Latest build    Updated    Status    Next Status    Expected EOL
7.0    16-Aug-18    7.0.12018.0    29-Jan-19    Full Support    Limited Support    TBA
6.5    28-Feb-17    6.5.12018.0    28-Aug-18    Full Support    Limited Support    TBA
6.4    7-Sep-16    6.4.12004.0    30-Nov-16    Full Support    Limited Support    TBA
6.3    2-Mar-16    6.3.12006.0    19-May-16    Limited Support    Basic Support    TBA
6.2    25-Feb-15    6.2.12007.0    3-Sep-15    Limited Support    Basic Support    TBA
6.0    11-Dec-14    6.0.12035.0         Limited Support    Basic Support    TBA
5    N/A    N/A    N/A    N/A    N/A    N/A
4.5    7-Feb-12    4.5.12017.0    5-Aug-15    End of Life    End of Life     
4.3    18-Oct-11    4.3.12014         End of Life    End of Life

https://support.eset.com/kb3592/#efsw

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 14.05.2019

Размещено 15.05.2019 07:09:10

выполнили скрипт, установили ПО, которое было задето вирусом упоминается ниже, далее произвелась переустановка антивируса на более позднюю версию(при установке возникла необходимость сначала удалить старый антивирус) произвелась перезагрузка, после антивирусом KVRT были обнаружены следующие вирусы, вложение (Вирусы в основном были обнаружены в папке, в которой производились изменения, а именно: переустанавливалось ПО, которое было задето вирусом в первый раз)
также прикладываю вновь созданный образ автозапуска.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.05.2019 08:39:13

судя по рисункам у вас новая версия ESET либо не активирована, либо какие то из модулей не работают.
проверьте, чтобы все модули работали корректно, и обновлялись антивирусные базы.
Используете ли ERAC для управления антивирусными клиентами?
+
если установка шифратора была через подключение по RDP, то скорее всего был взлом этой учетки,
C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-15E3731A.[[email protected]].ADOBE

необходимо установить сложные пароли на эту и другие учетные записи
+
установите в политиках ограничение на число попыток при неверном вводе пароля.
+
необходимо установить актуальные обновления для серверной системы,
иначе возможен повторный взлом и новое шифрование с рабочего стола.
+
вопрос по детекту в KVRT: какой детект был по найденным и удаленным файлам?

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 14.05.2019

Размещено 15.05.2019 16:10:35

Весьма полезные советы. Благодарю
Данные по KVRT
Образ автозагрузки
Окно ESET

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.05.2019 07:17:23

судя по скрину, установленный File Security работает нормально.
установите критические обновления системы,

A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests.
An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
The update addresses the vulnerability by correcting how Remote Desktop Services handles connection requests.
-----------------
Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов, которые ранее назывались службами терминалов, когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в целевой системе. Затем злоумышленник может установить программы; просматривать, изменять или удалять данные; или создать новые учетные записи с полными правами пользователя.
Это обновление устраняет уязвимость, исправляя способ, которым службы удаленных рабочих столов обрабатывают запросы на подключение.

Microsoft утверждает, что критическая уязвимость RDS, отслеживаемая как CVE-2019-0708, распространяется только на более старые версии поддержки (например, Windows 7, Windows Server 2008 R2 и Windows Server 2008)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://www.bleepingcomputer.com/news/security/microsoft-fixes-critical-remote-desktop-flaw-blocks-worm-malware/
+
разрешите доступ к серверу только с доверенных внешних ip адресов

по расшифровке *.adobe не поможем.
нет расшифровки у вирлаба по этому варианту Crysis

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 14.05.2019

Размещено 21.05.2019 09:47:36

Добрый день. Таже история. Файлы зашифровались с расширением *.adobe. На рабочем столе остался скрипт и батник, может поможет в расшифровке.

Прикрепленные файлы

ADOBE.rar (1.32 КБ)

Изменено: Денис Ковригин - 21.05.2019 09:48:03

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.05.2019 19:26:34

Денис,
добавьте образ автозапуска системы
+
несколько зашифрованных файлов в архиве

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 14.05.2019

Размещено 23.05.2019 08:37:44

Доброе Утро! Готово.

Прикрепленные файлы

Desktop.rar (316.61 КБ)
DC_2019-05-23_10-22-40_v4.1.5.7z (708.64 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.05.2019 09:44:57

Денис,
по очистке системы выполните скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v4.1.5 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6AC6E2EB.[[email protected]].ADOBE delall %SystemDrive%\USERS\1\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA apply QUIT

Код


;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6AC6E2EB.[[email protected]].ADOBE
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
apply

QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
------------
К сожалению, вирлаб в текущий момент не может расшифровать файлы Crysis.adobe
восстановление документов возможно только из архивных копий.

чтобы избежать повторных атак с новым шифрованием примите следующие меры:

поменяйте пароли доступа к учетным записям на более сложный, возможно доступ к системе по RDP стал возможен через подбор пароля для одной из учетных записей.
разрешите доступ к рабочему столу через брэндмауэр из внешней сети, только для определенных ip-адресов.
поменяйте стандартный номер порта для службы RDP на произвольный
в локальных политиках поставьте ограничение на количество попыток неправильного ввода паролей с блокировкой чтобы избежать автоматического подбора паролей из внешней сети.
и главное,
не забываем сохранять копии важных документов в архивах на отдельном носителе, который периодически подключается для сохранения бэкапов и отключается после завершения создания нового бэкапа.

[ Как создать образ автозапуска? ]

Пред. 1 ... 4 5 6 7 8 След.