santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT, Filecoder.FONIX

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.03.2023 13:22:37

update:
по FONIX/RYK известны следующие почты:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

update3:

Определенные группы файлов просто полностью испорчены вредоносной программой
краткое резюме от Эмсисофт:

* Any File [<300KB] = Good
* .zip [300KB - 2GB] = Unrecoverable
* .zip [2GB+] = Recoverable
* "Important" [300KB - 2GB] = Good
* "Important" [2GB+] = Unrecoverable
* Other File [300KB - 2GB] = Good
* Other File [2GB+] = Recoverable

С «Важными» расширениями, которые они вносят в белый список, например .MDF, .SQL, .VHD и т. д.

update4:
стала возможна расшифровка раннего варианта FONIX/Phobos/eking

[ Как создать образ автозапуска? ]

Перейти

ECP 20002, ошибка активации

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.03.2023 13:17:32

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v4.13 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE delhst 0.0.0.0 expire.eset.com delhst 0.0.0.0 edf.eset.com dnsreset ;------------------------autoscript--------------------------- delref HTTPS://OVGORSKIY.RU apply deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS ;------------------------------------------------------------- restart

Код

;uVS v4.13 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delhst 0.0.0.0 expire.eset.com
delhst 0.0.0.0 edf.eset.com
dnsreset
;------------------------autoscript---------------------------

delref HTTPS://OVGORSKIY.RU
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.03.2023 03:49:48

Код
;uVS v4.13 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE regt 28 ;------------------------autoscript--------------------------- apply deltmp delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\LMS.INF_AMD64_BADC5ACAA5648E9D\LMS.EXE delref %SystemRoot%\KMSAUTOS\KMSAUTO X64.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS delref %Sys32%\BLANK.HTM delref E:\BANDICAM\UNOSETUP.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.13 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 28
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\LMS.INF_AMD64_BADC5ACAA5648E9D\LMS.EXE
delref %SystemRoot%\KMSAUTOS\KMSAUTO X64.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\BLANK.HTM
delref E:\BANDICAM\UNOSETUP.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Если проблема с ярлыками не решится, сделайте, пожалуйста фото экрана с ярлыками, а так же свойства ярлыка чтобы было видно, что прописано в строке объекта

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением .Lazarus; Lazarus+; .Angus; .Skynet; .Kronos; .Void; .mifr; .onion; Spade; crypter; .RTX; .ADA; .gts; .help; .Iwan; .killer; .lama; .professor; .zxc; solo; .PAY; MrWhite; .rar; RYKCRYPT; .MRN, VoidCrypt/Filecoder.Ouroboros

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2023 12:00:08

Цитата
Андрей Волынский написал: Файлы ключ который прислали во вложении, единственное записку куда-то дел, но Камил и ключ тот же что и в имени файла

Записку конечно, желательно проверить: соответствует в ней ID тому, что есть на зашифрованных файлах или нет.
Release Notes.txt.[MJ-VJ0189672354]([email protected]).MrWhite
Так же ID можно проверить в этом файле: IDk.txt
Если исходить, что соответствует - дешифровка файлов не выполняется при вводе ключа и других параметров.
Прежний кейс по шифрованию mifr расшифровывается, так что вам надо проверить ключ, достоверный или нет.

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking, Filecoder.Phobos

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.02.2023 08:11:13

Судя по маркерам в зашифрованных файлах
0000000000000000000000000000000000000000
а так же по шаблону наименования зашифрованного файла:
FileName.id[5A0414FE-2899].[e-mail].eking:
это Filecoder.Phobos
Сделайте, пожалуйста, следующие логи для поиска файлов шифровальщика и анализа проникновения:
образ автозапуска в uVS.
Как собрать, подробнее на нашем техническом форуме:
https://forum.esetnod32.ru/forum9/topic2687/
и
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита,
появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

[ Как создать образ автозапуска? ]

Перейти

Удаление аккаунта/профиля ESET/ESET connect, я хочу удалить аккаунт

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.02.2023 11:43:36

Цитата
Павел Свадковский написал: Здравствуйте, я прошу вас удалить или помочь мне удалить аккаунт eset/eset connect

Напишите, пожалуйста, в [email protected]
или отправьте сообщение через форму обратной связи:
https://www.esetnod32.ru/support/

[ Как создать образ автозапуска? ]

Перейти

Запрет доступа в интернет и запуск приложений

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.02.2023 05:57:19

Цитата
- Не могу понять где запретить доступ к интернету, оставить доступ только к определенным сайтам.

Дополнительные настройки - Интернет и электронная почта - защита доступа в Интернет - Управление URL-адресами - список адресов
Нажимаем "Изменить"
Здесь вам нужны будут списки:
список заблокированных адресов, список разрешенных адресов.
В списке заблокированных адресов добавьте запись, блокирующие все адреса
в списке разрешенных адресов добавьте записи, разрешающие небходимые вам сайты.

Цитата
И приложения по такому же принципу, т.е. разрешить только определенные приложения.

Дополнительные настройки - Модуль обнаружения - Система HIPS-Настройка системы HIPS-правила.
Здесь нажимаем изменить,
создаем разрешающие правила для необходимых приложений.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.02.2023 04:38:17

Сделайте дополнительно логи FRST
https://forum.esetnod32.ru/forum9/topic2798/

Прикрепите логи FRST.txt и Addition.txt к вашему сообщению

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2023 09:45:28

После того как были слиты приватные ключи от FONIX, злоумышленники применили тактические приемы маскировки FONIX под другие типы шифровальщиков.
FONIX может маскироваться под harma, eking и под RYUK.

Цитата
Сообщение >> - найдено 21 апреля 2021. Расширение: .harma Имитация под Dharma Ransomware. Email: [email protected], [email protected] Файл проекта: C:\~Ransomware\Fonix - 4.3.2 - DharmaVersion\x64\Release\Fonix.pdbVT: C53F1932C9B1AEF9869B856ADB05F587 - непубличный образец

Возможно, один из вариантов FONIX, который был замаскирован под Phobos/eking

Цитата
7z1604-x64.exe.ID-50C4BDFF.[[email protected]].eking Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Phobos.exe [2021-08-18] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.hta [2021-08-07] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.txt [2021-08-07] () [File not signed] 2021-08-07 16:22 - 2021-08-07 16:22 - 000001436 _____ C:\Users\Administrator\AppData\Roaming\Data000.Phobos 2021-08-07 16:22 - 2021-08-07 16:22 - 000000194 _____ C:\Users\Administrator\AppData\Roaming\info.txt 2021-08-07 16:22 - 2021-08-07 16:22 - 000005333 _____ C:\Users\Administrator\AppData\Roaming\info.hta 2021-08-07 16:22 - 2021-08-07 16:22 - 000000160 _____ C:\Users\Administrator\AppData\Roaming\Data001.Phobos 2021-08-07 16:22 - 2021-08-07 16:22 - 000000008 _____ C:\Users\Administrator\AppData\Roaming\id.Phobos

Цитата

7z1604-x64.exe.ID-50C4BDFF.[[email protected]].eking
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Phobos.exe [2021-08-18] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.hta [2021-08-07] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.txt [2021-08-07] () [File not signed]
2021-08-07 16:22 - 2021-08-07 16:22 - 000001436 _____ C:\Users\Administrator\AppData\Roaming\Data000.Phobos
2021-08-07 16:22 - 2021-08-07 16:22 - 000000194 _____ C:\Users\Administrator\AppData\Roaming\info.txt
2021-08-07 16:22 - 2021-08-07 16:22 - 000005333 _____ C:\Users\Administrator\AppData\Roaming\info.hta
2021-08-07 16:22 - 2021-08-07 16:22 - 000000160 _____ C:\Users\Administrator\AppData\Roaming\Data001.Phobos
2021-08-07 16:22 - 2021-08-07 16:22 - 000000008 _____ C:\Users\Administrator\AppData\Roaming\id.Phobos

Data000.Phobos может быть аналогом CPriv.key (FONIX)
info.txt - Help.txt (FONIX)
info.hta - How To Decrypt Files.hta (FONIX)
Data001.Phobos - CPub.key (FONIX)
id.Phobos - SystemID (FONIX)

Цитата
Вариант от 24 августа 2021: Сообщение >> Расширение: .RYK Записка: RyukReadMe.txt Email: [email protected], [email protected] сэмпл: https://www.virustotal.com/gui/file/5f91aa43d5c5d9202277ddde4d4125be780c0c5ad146604804a618da8dfadf1e Это не первый раз, когда Fonix выдает себя за другой Ransomware.

https://id-ransomware.blogspot.com/2020/06/fonixcrypter.html

update:
прописывается в автозапуск:
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUK.EXE

C:\USERS\***\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUK.EXE
"Скрытый" или "Системный" [типично для вирусов]
в задачи:
C:\WINDOWS\SYSTEM32\TASKS\RYK
C:\WINDOWS\SYSTEM32\TASKS\RYUK

Update1:
Avast выпустил обновление для FONIX/RYUK
текущая версия 1.0.0.537

известные недостатки:
ошибки при расшифровке zip файлов, возможно повреждены при шифровании
проблема с расшифровкой больших vhd - ошибка при шифровании
не смогли расшифровать зашифрованный архив *.tib размером 70Гб
пропуск зашифрованных файлов, если после шифрования файлы переименованы прописными буквами ryk - исправлено!
Пример:
Folder.jpg.[[email protected]].ryk --- здесь будет достаточно вручную исправить расширение на RYK

update2:
известные почты с расшифровкой:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

update3:

Определенные группы файлов просто полностью испорчены вредоносной программой
краткое резюме:

* Any File [<300KB] = Good
* .zip [300KB - 2GB] = Unrecoverable
* .zip [2GB+] = Recoverable
* "Important" [300KB - 2GB] = Good
* "Important" [2GB+] = Unrecoverable
* Other File [300KB - 2GB] = Good
* Other File [2GB+] = Recoverable

С «Важными» расширениями, которые они вносят в белый список, например .MDF, .SQL, .VHD и т. д.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2023 05:31:26

Сделайте, пожалуйста, образ автозапуска в uVS

[ Как создать образ автозапуска? ]

Перейти