Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .EXTEN; .CROW; .MEOW; .PUTIN; .KREMLIN; .RUSSIA; LOCK2023; RCHAT; RUBEN; CRUST; met@n; GAZPROM , модифицированный вариант Conti

1
RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.02.2023 09:36:39
файлы зашифрованы с расширением *.EXTEN; *.CROW; *.MEOW; *.PUTIN; *.KREMLIN; *.RUSSIA; *.LOCK2023; *.RCHAT; *.RUBEN; *.CRUST; *.met@n; *.GAZPROM
-----------
на текущий момент  расшифровка есть по *.PUTIN; *.KREMLIN; *.RUSSIA;
[ Как создать образ автозапуска? ]
 
Roman Bulatov
Roman Bulatov
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 03.04.2023
Размещено 03.04.2023 10:05:27
В общем 2 апреля, поймали шифровальщика, на серверах 2003 и XP  есть metan.exe и соответственно после его работы, появились файлы с расширением .met@n. Пробывали утилиты от касперского не помогло. Может кто сталкивался?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.04.2023 11:31:34
Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе в архив, загрузите архив в ваше новое сообщение для определения типа шифровальщика.
Если найден исполняемый файл шифратора, добавьте файл в архив с паролем infected, пришлите в почту [email protected]
---------
судя по файлам, полученным от коллег - это модифицированный Conti, к сожалению, без возможности расшифровки на текущий момент.
https://www.virustotal.com/gui/file/a071c02f6e398173476ad3394f84d02201f6d817ee2fb91­99f4e095ba0e2c7d5?nocache=1

Важные зашифрованные файлы+записку о выкупе сохраните на отдельный носитель, возможно в будущем расшифровка станет возможной.

Создайте образ автозапуска в uVS в пострадавшей системе для очистки от возможных тел шифровальщика
https://forum.esetnod32.ru/forum9/topic2687/
+
соберите лог ESETSysVulnCheck для анализа проникновения злоумышленников.
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
[ Как создать образ автозапуска? ]
 
Roman Bulatov
Roman Bulatov
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 03.04.2023
Размещено 03.04.2023 12:23:24
 Выложил файлики. Можете подсказать как вирус мог попасть в сеть? Пишут вроде только через письма распространяется.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.04.2023 12:34:12
Могли проникнуть через RDP если есть возможность для подключения по RDP из внешней сети, сейчас это чаще всего и происходит при атаках шифровальщиков.
а далее, смогли уже из локальной сети атаковать другие устройства.
Сделайте лог SysVulnCheck на устройстве, где было шифрование, и к которому есть доступ из внешней сети.
(можно на нескольких пострадавших устройствах)
[ Как создать образ автозапуска? ]
 
1
Читают тему