Файлы зашифрованы с расширением .FISTING; .likeoldboobs; .Washedback; .Gachimuchi; .Horsefucker; .crxxx; .nigra; .x101 , Win32/Filecoder.NSF/SojusZ

Всем доброго дня, словил шифровальщика, в интернете очень мало информации по нему, впервые упоминания датируются начало июня 2022.
Есть предположения что это Cryakl.
Взлом был по RDP - 100%
Прилагаю файлы до и после шифрования.
https://mega.nz/file/j0IXSQYC#mh4SPmRNFkSIX2qBExyIy-t8tE-VM1rBJw6NVYvuFHc

ELC_Logs
https://mega.nz/file/jgpngTab#B69BwGXfYKHKXKStZAKZ5oRfdO36cJkjin-eiCgpwJ4

Понимаю что скорее всего расшифровать нет возможности, но хотелось бы узнать что это за чудо и какой версии.


Содержание письма

Скрытый текст

ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED! ============================================================­======================================== Your files are NOT damaged! Your files are modified only. This modification is reversible. The only 1 way to decrypt your files is to receive the private key and decryption program. Any attempts to restore your files with the third party software will be fatal for your files! ============================================================­======================================== To receive the private key and decryption program follow the instructions below: 1. Write to our skype - Dungeon Masters Decryption Also you can write ICQ live chat which works 24/7 @DUNGEONMASTERS Install ICQ software on your PC https://icq.com/windows/ or on your mobile phone search in Appstore / Google market ICQ Write to our ICQ @DUNGEONMASTERS https://м/icq.im/DUNGEONMASTERS 2. Our company values its reputation. We give all guarantees of your files decryption,such as test decryption some of them We respect your time and waiting for respond from your side tell your MachineID: 345132855D and LaunchID: 3eec70e412 ============================================================­========================================

Спасибо за обращение.
Судя по формату зашифрованного файла "monteryn.ttf.[3eec70e412].[Dungeon Masters].FISTING" - это Sojusz
https://id-ransomware.blogspot.com/2022/02/sojusz-ransomware.html

В последнее время активен, и известны несколько вариантов:
af.zip.[89f625ffde].[BillyHerrington].Gachimuchi
HardwareEvents.evtx.[724e4bcb11].[spanielearslook].likeoldboobs
есть и другие.

Для дополнительного анализа, сделайте пожалуйста лог ESETSysVulnCheck

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.  

Так же при наличие лицензии на продукт ESET Вы можете обратиться в техническую поддержку [email protected]
Файлы и логи, которые необходимы для обращения в ТП
https://forum.esetnod32.ru/forum35/topic16689/

Лог ESETSysVulnCheck
https://mega.nz/file/e9gUTQTI#toM12-rGuXizaD_o1Kqp-I35BxE_bGzYVPHa868b4hA

из подозрительного:
sep=,
Datetime,Service name,Type,File name,Start type,Account
13.07.2022 00:29:22,KProcessHacker3,драйвер режима ядра,C:\Program Files\Process Hacker\kprocesshacker.sys,Вручную,
sep=,
Datetime,Source,Event description
13.07.2022 00:26:10.147,TS - Rmt Conn. Man,"""администратор"" is connecting from IP 26.202.49.230."
sep=,
Datetime,Source,Event description
13.07.2022 00:26:51.609,TS - Lcl Session Man,"""Администратор"" logged in from IP 26.202.49.230."
sep=,
Datetime,Source,Event description
13.07.2022 00:28:39.705,Non-MS Apps,"Application ""WinRAR 5.71 (64-bit)"" was installed."
sep=,
Datetime,Source,Event description
13.07.2022 00:29:21.091,Non-MS Apps,"Application ""Process Hacker"" was installed."
sep=,
Datetime,Source,Event description
13.07.2022 00:29:22.410,Created Services,"Service ""KProcessHacker3"" (драйвер режима ядра) was installed. File Name: ""C:\Program Files\Process Hacker\kprocesshacker.sys"". Start Type: Вручную. Account: n/a"
------------------------
Пользователь должен включить контроль учетных записей (UAC).

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Продукт безопасности ESET не найден.

Аудит событий входа, вероятно, частично (или полностью) отключен.
Чтобы включить его, запустите secpol.msc и в разделе «Локальные политики» -> «Политика аудита» -> «Аудит событий входа» отметьте «Успех» и «Сбой».

Обнаружен инструмент, который мог быть использован хакерами для удаления или отключения ESET:
- Process Hacker (установлен 13.07.2022 00:29:21)

Отсутствуют следующие критические исправления:
- CVE-2021-34527, кодовое название «PrintNightmare» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527)

Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP
- установка пароля для защиты настроек ESET и предотвращения их отключения или удаления посторонними лицами (см. https://support.eset.com/kb6783/)
- включение системы ESET LiveGrid Feedback
- включение обнаружения потенциально небезопасных приложений (см. https://support.eset.com/kb6795/)

Здравствуйте, Произошла атака с шифрованием по типу ***.[***].[Dungeon Masters].FISTING. На одном компьютере осталась программа-шифратор (попробовали её запустить на виртуальной машине и она действительно всё шифрует), есть ли смысл её выкладывать здесь с целью попытки реализации дешифратора, или она ничего не даст?

Пришлите, пожалуйста, файл шифровальщика в почту [email protected], в архиве, с паролем infected, с шифрованием имен файлов.

Если необходим анализ ПК, который предположительно был атакован из внешней сети, сделайте пожалуйста на этом устройстве лог  ESETSysVulnCheck:


Если Вы являетесь пользователем ESET, Вы можете создать обращение в техническую подддержку [email protected] и предоставить следующие файлы для анализа:
https://forum.esetnod32.ru/forum35/topic16689/

Добрый день! В июле 2022 года столкнулись с этой же проблемой, шифрование файлов по типу .[Dungeon Masters].FISTING
Было ли найдено какое-либо решение?
Жива ли эта ветка форума?

Нет, к сожалению решения по расшифровке Win32/Filecoder.NSF/SojusZ на текущий момент нет.