Файлы зашифрованы с расширением *.Loki , Loki.Locker

1
RSS
Здравствуйте.

Терминальный сервер поймал шифровальщика. Зашифровалось все, что можно и нельзя, включая базы и бэкапы.
Прошу, помогите!!!
Вход в систему невозможен: не найден профиль пользователя. Загрузился с USB. Тела вируса не нашел. Прилагаю связку зашифрованный файл - оригинал. И сообщение от бандитов.
Пытались связаться с гражданами-бандитами по указанным адресам - ответа нет.
Нет. Очистка не нужна. Нужна расшифровка.
Цитата
Вячеслав Смердов написал:
Здравствуйте.

Терминальный сервер поймал шифровальщика. Зашифровались все, что можно и нельзя, включая базы и бэкапы.

Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Цитата
Опознан как

   sample_extension: [<email>][<id>].Loki
   ransomnote_email: [email protected]

https://id-ransomware.malwarehunterteam.com/identify.php?case=a041630780a8095a1119d7bb67c47f614ea306bd

----------------------------

по возможности, загрузитесь с liveUSB и сделайте образ автозапуска зашифрованной системы
как это сделать, подробнее здесь
https://forum.esetnod32.ru/forum27/topic2102/



если у вас есть лицензия на продукт ESET, соберите пожалуйста следующую информацию:
1. несколько зашифрованных файлов + если есть оригинальные ( не зашифрованные файлы) добавить в файл Crypted
2. файл шифратора+записку о выкупе добавьте в в архив Filecoder с паролем infected

3. лог в EsetLogCollector
Скачать утилиту ESET Log Collector можно по ссылке:  

https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

4. лог SysVulnCheck
4. Скачайте специальную утилиту по ссылке   http://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe.
--------
напишите обращение в техническую поддержку [email protected]

подробнее по сбору файлов и логов здесь
Здравствуйте, видел похожую тему, но не знаю, можно ли писать туда, или лучше создать отдельное обращение. (если нужно, возможно объединить...)

Компьютер пользователя поймал шифровальщик Locked by Loki
Все файлы, кроме системных зашифрованы с расширением *.Loki
Антивирус стоял, но был отключен пользователем "Как мне объяснили – он мешал подключиться каким то бухгалтерским банк клиентам."
Как вирус попал на компьютер тоже неясно, в момент заражения им никто не пользовался, и ни интернет ни почту не открывал.
Как обнаружил проблему выключил комп из сети и сделал полный
акронис-бэкап системы.

Вкладываю 4 зашифрованных архива (от всех пароль: 1):

файлы с компа (пароль 1).zip

                       – образцы зашифрованных файлов с компьютера, оригиналов нет

мои файлы (чистые образцы).zip

                       – чистые образцы моих файлов которые я флешкой забросил на зараженный компьютер

мои файлы (зараженные образцы).zip

                       – зараженные образцы моих файлов которые я флешкой забросил на зараженный компьютер и перезагрузил его несколько раз, после чего они зашифровались (к ним есть оригиналы, вдруг это поможет)

файл (info.hta) ).zip

                       – файл который находится в папке windows/system32 и пытается автозагрузиться с некоторой периодичностью

Так же в архивах есть файлы Cpriv.Loki и Restore-My-Files которые как то имеют отношение к шифровальщику

Приложил снимок экрана с требованиями выкупа

Нужна ли еще какая-либо информация для диагностики проблемы?
Скачайте утилиту ESET Log Collector по ссылке:
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­­lector.exe

Перед сбором лога ELC желательно, чтобы на компьютере была установлена последняя версия антивируса с действующей лицензией:
Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  

В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.  Если размер файла превышает 20Мб, выложите файл на общедоступный диск, и пришлите нам ссылку на загрузку данного файла.

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
ELC_logs - результат работы программы esetlogcollector
ESVC_USER-ПК_20221128132436 - результат работы программы ESETSysVulnCheck
USER-ПК_2022-11-28_14-54-12_v4.12.3 - образ автозапуска

никакой антивирус поставить на компьютер не получается. некоторые программы и установщики не запускаются. видимо, повреждены какие-то системные файлы.
пишет:
"Не удалось запустить приложение, поскольку его параллельная конфигурация неправильна. Дополнительные сведения содержатся в журнале событий приложений" (журнал не открывается, как и управление компьютером в целом)
В системе есть активные файлы шифровальщика.

Для очистки системы, выполните, пожалуйста, скрипт в uVS без перезагрузки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v4.12.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINLOGON.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE
zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WINLOGON.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE
zoo %SystemRoot%\WINLOGON.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINLOGON.EXE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\WINLOGON.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WINLOGON.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WVTYMCOW.BAT
delall %SystemRoot%\WINLOGON.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINLOGON.EXE
delref {FD387882-7305-4231-86E1-35B1FAE33425}\[TASK]
delall %SystemRoot%\WINLOGON.EXE
regt 1
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAJFLEPEGNONONCFMOIKDNEPHFLELDNBH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFAHHEAKDHOEOIGMAFEJKEHDOEIKPGDFP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
apply
CZOO

QUIT

Без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected]
------------
по антивирусам:
sep=,
Datetime,Service name,Type,File name,Start type,Account
28.11.2022 13:19:43,Kaspersky Small Office Security Service 21.7,служба режима пользователя,"C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 21.7\avp.exe"" -",Автоматически,LocalSystem

не запустился? или некорректно был установлен?
В системе остались активные файлы от попытки установить антивирус Касперского, скорее всего они и мешают теперь корректно установить антивирус.
по журналам:
шифрование было 23.11 судя по дате создания записки о выкупе
Restore-My-Files.txt
Возможно, отсюда было подключение:
sep=,
Datetime,Source,Event description
22.11.2022 11:22:50.370,Security Logs,"""User"" logged in via RDP. (W: USER-ПК, IP: 192.168.10.104, P: User32)"
или отсюда:
sep=,
Datetime,Source,Event description
23.11.2022 12:20:20.728,Security Logs,"""User"" logged in via RDP. (W: USER-ПК, IP: fe80::e91c:8c7d:e4ff:10c5, P: User32)"
------------------
по рекомендациям:

Установлена ​​Windows 7 Профессиональная. Пользователь должен перейти на полностью поддерживаемую и безопасную ОС.

Пользователь должен включить контроль учетных записей (UAC).

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Продукт безопасности ESET не найден.

Аудит событий входа, вероятно, частично (или полностью) отключен.
Чтобы включить его, запустите secpol.msc и в разделе «Локальные политики» -> «Политика аудита» -> «Аудит событий входа» отметьте «Успех» и «Сбой».

Могут отсутствовать следующие критические исправления:
- MS16-032 (https://technet.microsoft.com/en-us/library/security/MS16-032)
- CVE-2019-1181, CVE-2019-1182, кодовое имя «DejaBlue» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181)
- CVE-2021-34527, кодовое название «PrintNightmare» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527)

Следующие общие ресурсы имеют разрешение на запись для всех. Их содержимое может быть зашифровано с удаленной машины:

Users  (C:\Users)
- Базы  (C:\Users\User\Desktop\Базы)

Цитата
Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP
- установка пароля для защиты настроек ESET и предотвращения их отключения или удаления посторонними лицами (см. https://support.eset.com/kb6783/)
- включение системы ESET LiveGrid Feedback
- включение обнаружения потенциально небезопасных приложений (см. https://support.eset.com/kb6795/)
1
Читают тему (гостей: 1)