файлы зашифрованы с расширением *.EXTEN; *.CROW; *.MEOW; [B]*.PUTIN; *.KREMLIN; *.RUSSIA; [/B]*.LOCK2023; *.RCHAT; *.RUBEN; *.CRUST; *.met@n; *.GAZPROM
-----------
на текущий момент  расшифровка есть по [B]*.PUTIN; *.KREMLIN; *.RUSSIA; [/B]

К нам обратился Давид с вопросом, почему не все модули защиты включены после установки антивируса Pro32 Total Security. Так же он не смог активировать программу и обновить антивирусные базы.

[IMG WIDTH=691 HEIGHT=498]https://chklst.ru/uploads/editor/2p/a4e7esca4rp6.jpg[/IMG]

С его слов, он не смог установить Avast и Kaspersky, а техподдержка не смогла решить вопрос.
Давид предусмотрительно выполнил сканирование системы и предоставил диагностические логи.
Что же мы видим по логам:
[CODE];================ Запуск результатов сканирования ==================
17-01-2023 12:18 C:\Program Files\RDP Wrapper\rdpwrap.dll is an Unwanted-Program ( 00555edb1 ) Невозможно поместить в карантин
17-01-2023 13:16 C:\ProgramData\RunDLL\rundll.exe is a Trojan ( 005292541 ) Невозможно поместить в карантин
17-01-2023 13:16 C:\ProgramData\RunDLL\system.exe is an Exploit ( 005560f51 ) Невозможно поместить в карантин
17-01-2023 13:17 C:\ProgramData\Windows Tasks Service\winserv.exe is an Unwanted-Program ( 005442fc1 ) Невозможно поместить в карантин
17-01-2023 13:17 C:\ProgramData\WindowsTask\MicrosoftHost.exe is an Adware ( 0055fa291 ) Невозможно поместить в карантин
17-01-2023 13:42 C:\Windows\[email protected] is an Unwanted-Program ( 004d38111 ) Невозможно поместить в карантин
17-01-2023 15:01 C:\Windows\SysWOW64\mintcastnetworks.dll is a Trojan ( 0001140e1 ) Невозможно поместить в карантин
17-01-2023 13:17 C:\ProgramData\WindowsTask\win.exe Файл зашифрован! Ожидается действие ( Не подлежит лечению )
17-01-2023 13:16 C:\ProgramData\RunDLL\2x64.dll is a Riskware ( 0040eff71 ) Был удален
17-01-2023 13:16 C:\ProgramData\RunDLL\2x86.dll is a Trojan-Downloader ( 00536df71 ) Был удален

;------------------- Отчет-------------------
;Найденные файлы: 245056
;Просканированные файлы: 243605
;Зараженные файлы: 65
;Таблица разделов просканирована: 0
;просканировано загрузочных секторов : 0
;Проблемы, которые необходимо исправить: 7
;================ Конец результатов сканирования ==================[/CODE]

[IMG]https://chklst.ru/uploads/editor/7k/556d55k8ae61.jpg[/IMG]

Логи нас приятно удивили, не потому что система оказалась основательно поражена и заражена, а потому что в этой пораженной системе [B]антивирус PRO32 Total Security смог установиться и обойти все «защитные доспехи и барьеры» этого поистине вирусного Голиафа[/B]: множественное активное заражение системы с процедурой восстановления через WMI, блокировку запуска установщиков антивирусных программ, блокировку путей установки антивирусных программ, блокировку доступа к сайтам и ресурсам антивирусных компаний и технических форумов. По словам Давида, после очистки системы вирусные файлы восстанавливались. И здесь без тонких инструментов окончательно победить Голиафа было крайне сложно.

План был простой: очистить систему от Голиафа — Microsofthost.exe, далее восстановить работу модулей защиты антивирусной программы, активировать, обновить базы и выполнить контрольное полное сканирование системы.

Используем uVS для очистки системы. (скрипты uVS индивидуальны для каждого случая).

[CODE];uVS v4.13 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://PW.WEBPUBLIC.ORG/POWER3.TXT')||POWERSHELL.EXE
delref HTTP://PW3CLEAR.DLLCALISO.ORG/POWERC3.TXT')||POWERSHELL.EXE
delref HTTP://PWEAR.DLLCALISO.ORG/PW.TXT')||POWERSHELL.EXE
delwmi %Sys32%\CMD.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS TASKS SERVICE\WINSERV.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D1­39B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9­D7D4512D 8  Win64/Packed.Themida.L 7

zoo %SystemDrive%\PROGRAMDATA\REALTEK\TASKHOST.EXE
addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FF85B08FC3813792F5­BB0DD4C78774FE1196886F09811A8E1C4939355C045ABD5D982C2D3F21EF­B30C9B65 23 Win64/CoinMiner.ACX 7

zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
zoo %SystemDrive%\PROGRAMDATA\REALTEK\TASKHOSTW.EXE
zoo %SystemDrive%\PROGRAMDATA\RUNDLL\RUNDLL.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE­614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F­879F2306 8 Python/Agent.BL [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE
addsgn BA6F9BB2BD5149720B9C2D754C2160FBDA75303A4536D3B4490F09709C1A­BD80EFDBA531314A19492B80849F0E95A5EA3156FC561953EC08253A97F4­8B8B7657 21 Win64/CoinMiner.QG 7

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\SYSTEM.EXE
addsgn 1A7F749A5583368CF42BFB3A88A212FA30F69CB689056A707AD645DC10D6­1945271703A82B2DFD092BD07B8A327609FA201CBDF9B95B5C082E77A445­D0EE667A 8 Win32/Exploit.Equation.M [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\START.EXE
addsgn 1A69149A5583348CF42B254E3143FE53A8CFF4A6020BF7FA793C3A7B5622­B50E239C050963979949EC81705B0416A0CD802017F9AA8F3BC07BFC55E8­C1F2E631 8 Python/Agent.BT 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
addsgn BA6F9BB2BD514E720B9C2D754C2160FBDA75303A6039BC78850F09706316­4849CB00BB5431C05D8AA8A511953E1549393556B4565D8FF8A18153E4D4­38F96AF2 8 Win64/CoinMiner.NZ 7

chklst
delvir

deldirex %SystemDrive%\PROGRAMDATA\RUNDLL


regt 14
deltmp
;
;
;
;-------------------------------------------------------------

restart
czoo[/CODE]

После очистки системы от троянов и блокирующих элементов мы перешли к восстановлению работы антивирусной программы.
Выяснилось, что причиной незапуска служб может быть отсутствие прав системы для файлов каталога K7Computing

[IMG WIDTH=364 HEIGHT=498]https://chklst.ru/uploads/editor/sv/lmi1cmw2t3x4.jpg[/IMG]

Добавили Систему с соответствующими разрешениями, все службы антивируса штатно запустились и все модули защиты включились.

[IMG WIDTH=680 HEIGHT=496]https://chklst.ru/uploads/editor/n8/i4eyqtkrybkm.jpg[/IMG]

Добавили дополнительно права Системы на другие каталоги и заработало обновление антивирусных баз.

После успешного обновления Давид смог выполнить полное сканирование системы, но к этому моменту остатки Голиафа были найдены только в карантинах. :).

(с), chklst.ru

[B]ESET Smart Security Premium 16 (16.2.11.0)[/B]

32 bit [URL=https://download.eset.com/com/eset/apps/home/essp/windows/latest/essp_nt32.exe][B]Загрузить[/B][/URL]
64 bit [URL=https://download.eset.com/com/eset/apps/home/essp/windows/latest/essp_nt64.exe][B]Загрузить[/B][/URL]

[B]ESET Internet Security 16 (16.2.11.0)[/B]

32 bit [URL=https://download.eset.com/com/eset/apps/home/eis/windows/latest/eis_nt32.exe][B]Загрузить[/B][/URL]
64 bit [URL=https://download.eset.com/com/eset/apps/home/eis/windows/latest/eis_nt64.exe][B]Загрузить[/B][/URL]

[B]ESET NOD32 Antivirus 16 (16.2.11.0)[/B]

32 bit [URL=https://download.eset.com/com/eset/apps/home/eav/windows/latest/eav_nt32.exe][B]Загрузить[/B][/URL]
64 bit [URL=https://download.eset.com/com/eset/apps/home/eav/windows/latest/eav_nt64.exe][B]Загрузить[/B][/URL]


Особенностью установщика 16 версии является многоязычность - все языки в одном установщике, также после ввода лицензионного ключа, программа предложит Вам выбрать продукт который можно установить для данной лицензии.

Обращаем Ваше внимание, что для установки новой версии на ОС Windows 7 SP1 без обновлений, потребуется установка 2 обновлений, KB4474419 и KB4490628.
[SIZE=14pt][B]16.1 уже не поддерживается на Windows 7.[/B][/SIZE]

[B]Онлайн справка[/B]
http://help.eset.com/
------------------

v 16.
Темная тема получилась удачной.

http://dsrt.dyndns.org:8888/download.htm

Ф - это фаервол, поддерживается IPv4 и IPv6 одновременно. Ф. в отличии от устаревших фаеров способен сопоставлять доменные имена и IP адреса.
Вы можете фильтровать трафик используя доменные фильтры вместо IP адресов.
⚠ Майкрософт не желает видеть на рынке независимых производителей драйверов поэтому Ф работает исключительно с включенной опцией "Test signing", позволяющей загружать самоподписанные драйвера.
⚠ Игры с некоторыми античит движками не запускаются с этой опцией, если для вас это критично то НЕ устанавливайте Ф.
⚠ При включении "Test signing" для некоторых версий Windows на рабочем столе отображается надпись о том, что Windows работает в тестовом режиме.
⚠ Фаервол бесплатный для личного использования, но имеются региональные ограничения.
------
Читаем внимательно файл readme.txt перед началом использования Ф.

[SIZE=14pt]Злоумышленники, связанные с LockBit 3.0, злоупотребляют инструментом командной строки Защитника Windows, чтобы загружать маяки Cobalt Strike на скомпрометированные системы и избегать обнаружения программным обеспечением безопасности.[/SIZE]

[QUOTE]Cobalt Strike — это легитимный набор для тестирования на проникновение с обширными функциями, популярными среди злоумышленников, для скрытой разведки сети и горизонтального перемещения перед тем, как украсть данные и зашифровать их.[/QUOTE]

Однако решения по обеспечению безопасности стали лучше обнаруживать маяки Cobalt Strike, что заставляет злоумышленников искать инновационные способы развертывания инструментария.

   В недавнем случае реакции на атаку LockBit исследователи из Sentinel Labs заметили злоупотребление инструментом командной строки Microsoft Defender «MpCmdRun.exe» для боковой загрузки вредоносных библиотек DLL, которые расшифровывают и устанавливают маяки Cobalt Strike.

Первоначальная компрометация сети в обоих случаях была осуществлена ​​путем использования уязвимости Log4j на уязвимых серверах VMWare Horizon для запуска кода PowerShell.

Неопубликованная загрузка маяков Cobalt Strike на скомпрометированные системы не является чем-то новым для LockBit, поскольку есть сообщения о подобных цепочках заражения, основанных на злоупотреблении утилитами командной строки VMware.

Злоупотребление Microsoft Defender

После установления доступа к целевой системе и получения необходимых пользовательских привилегий злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла журнала.

[QUOTE] MpCmdRun.exe — это утилита командной строки для выполнения задач Microsoft Defender, которая поддерживает команды для сканирования на наличие вредоносных программ, сбора информации, восстановления элементов, выполнения диагностической трассировки и многого другого.[/QUOTE]

При выполнении MpCmdRun.exe загрузит законную DLL с именем «mpclient.dll», которая необходима для правильной работы программы.

   В случае, проанализированном SentinelLabs, злоумышленники создали собственную версию mpclient.dll, предназначенную для использования в качестве оружия, и поместили ее в место, которое отдает приоритет загрузке вредоносной версии DLL-файла.

Исполняемый код загружает и расшифровывает зашифрованную полезную нагрузку Cobalt Strike из файла «c0000015.log», установленного вместе с двумя другими файлами на более ранней стадии атаки.

[IMG WIDTH=1215 HEIGHT=985]https://www.bleepstatic.com/images/news/u/1220909/Diagrams/exploit-chain.png[/IMG]

Хотя неясно, почему операторы LockBit переключились с VMware на инструменты командной строки Защитника Windows для боковой загрузки маяков Cobalt Strike, это может быть сделано для обхода целевых средств защиты, реализованных в ответ на предыдущий метод.

Использование легитимных инструментов для уклонения от обнаружения EDR и AV в наши дни чрезвычайно распространено; следовательно, организациям необходимо проверять свои средства управления безопасностью и проявлять бдительность, отслеживая использование законных исполняемых файлов, которые могут быть использованы злоумышленниками.

https://www.bleepingcomputer.com/news/security/lockbit-operator-abuses-windows-defender-to-load-cobalt-strike/

[SIZE=13pt]Ботнет Emotet теперь использует файлы ярлыков Windows (.LNK), содержащие команды PowerShell, для заражения компьютеров жертв, отказываясь от макросов Microsoft Office, которые теперь отключены по умолчанию.[/SIZE]

Использование файлов .LNK не ново, так как Emotet ранее использовала их в сочетании с кодом Visual Basic Script (VBS) для создания команды, загружающей полезную нагрузку. Однако они впервые использовали ярлыки Windows для прямого выполнения команд PowerShell.

Новая техника после неудачной кампании

В прошлую пятницу операторы Emotet прекратили фишинговую кампанию, потому что они испортили свой установщик после того, как использовали статическое имя файла для ссылки на вредоносный ярлык .LNK.

Запуск ярлыка запускал команду, которая извлекала строку кода VBS и добавляла ее в файл VBS для выполнения.

Однако, поскольку у распределенных файлов ярлыков было другое имя, чем статическое, которое они искали, это не помогло бы правильно создать файл VBS. Группа устранила проблему вчера.

Сегодня исследователи безопасности заметили, что Emotet перешел на новую технику, которая использует команды PowerShell, прикрепленные к LNK-файлу, для загрузки и выполнения скрипта на зараженном компьютере.

Вредоносная строка, добавляемая к файлу .LNK, запутывается и дополняется нулями (пробелом), чтобы она не отображалась в целевом поле (файл, на который указывает ярлык) диалогового окна свойств файла.

Вредоносный файл .LNK Emotet содержит URL-адреса нескольких скомпрометированных веб-сайтов, используемых для хранения полезной нагрузки сценария PowerShell. Если сценарий присутствует в одном из определенных мест, он загружается во временную папку системы как сценарий PowerShell со случайным именем.

Ниже представлена деобфусцированная версия вредоносной строки Emotet, прикрепленной к полезной нагрузке .LNK:

[IMG WIDTH=1327 HEIGHT=388]https://www.bleepstatic.com/images/news/u/1100723/Botnets/Emotet/EmotetLNK_PowerShell.jpg[/IMG]

Этот сценарий создает и запускает другой сценарий PowerShell, который загружает вредоносное ПО Emotet из списка скомпрометированных сайтов и сохраняет его в папку %Temp%. Затем загруженная DLL запускается с помощью команды regsvr32.exe.

Выполнение сценария PowerShell выполняется с помощью утилиты командной строки Regsvr32.exe и заканчивается загрузкой и запуском вредоносного ПО Emotet.

Исследователь безопасности Макс Малютин говорит, что наряду с использованием PowerShell в файлах LNK этот поток выполнения является новым для развертывания вредоносного ПО Emotet.

Новая техника на подъеме

Исследовательская группа Cryptolaemus, которая внимательно следит за активностью Emotet, отмечает, что новая техника является явной попыткой злоумышленника обойти защиту и автоматическое обнаружение.

Исследователи безопасности из компании ESET, занимающейся кибербезопасностью, также заметили, что использование новой технологии Emotet увеличилось за последние 24 часа.

Данные телеметрии ESET показывают, что страны, наиболее затронутые Emotet с помощью новой технологии, — это Мексика, Италия, Япония, Турция и Канада.

Помимо перехода на PowerShell в файлах .LNK, операторы ботнета Emotet внесли несколько других изменений с тех пор, как в ноябре возобновили свою деятельность на более стабильном уровне, например, перешли на 64-битные модули.

Вредоносная программа обычно используется в качестве шлюза для других вредоносных программ, особенно угроз программ-вымогателей, таких как Conti.

https://www.bleepingcomputer.com/news/security/emotet-malware-now-installs-via-powershell-in-windows-shortcut-files/

[B]Новая фишинговая кампания использует специально созданные текстовые файлы CSV для заражения устройств пользователей вредоносным ПО BazarBackdoor.[/B]

Файл значений, разделенных запятыми (CSV), представляет собой текстовый файл, содержащий строки текста со столбцами данных, разделенными запятыми. Во многих случаях первая строка текста является заголовком или описанием для каждого столбца.

Использование файлов CSV — это популярный метод экспорта данных из приложений, которые затем можно импортировать в другие программы в качестве источника данных, будь то Excel, база данных, менеджеры паролей или программное обеспечение для выставления счетов.

   Поскольку CSV — это просто текст без исполняемого кода, многие люди считают эти типы файлов безвредными и могут быть более беззаботными при их открытии.

   Однако Microsoft Excel поддерживает функцию динамического обмена данными (DDE), которую можно использовать для выполнения команд, выходные данные которых вводятся в открытую электронную таблицу, включая файлы CSV.


К сожалению, злоумышленники также могут злоупотреблять этой функцией для выполнения команд, загружающих и устанавливающих вредоносные программы на ничего не подозревающих жертвах.

Файл CSV использует DDE для установки BazarBackdoor.

Новая фишинговая кампания, обнаруженная исследователем безопасности Крисом Кэмпбеллом, устанавливает троян BazarLoader/BazarBackdoor через вредоносные CSV-файлы.

BazarBackdoor — скрытая вредоносная программа-бэкдор, созданная группой TrickBot для предоставления злоумышленникам удаленного доступа к внутреннему устройству, которое можно использовать в качестве плацдарма для дальнейшего бокового перемещения в сети.

Фишинговые электронные письма выдают себя за «рекомендации по переводу платежей» со ссылками на удаленные сайты, которые загружают CSV-файл с именами, похожими на «document-21966.csv».

[IMG WIDTH=598 HEIGHT=542]https://www.bleepstatic.com/images/news/malware/b/bazaloader/csv-file/spam-email.jpg[/IMG]

Как и все файлы CSV, файл document-21966.csv представляет собой просто текстовый файл со столбцами данных, разделенными запятыми

[IMG WIDTH=994 HEIGHT=574]https://www.bleepstatic.com/images/news/malware/b/bazaloader/csv-file/malicious-csv-file.jpg[/IMG]

Однако замечаем, что один из столбцов данных содержит странный вызов WMIC в одном из столбцов данных, который запускает команду PowerShell.

Это =WmiC| Команда — это функция DDE, которая заставляет Microsoft Excel при наличии разрешения запускать WMIC.exe и выполнять предоставленную команду PowerShell для ввода данных в открытую книгу.

В этом конкретном случае DDE будет использовать WMIC для создания нового процесса PowerShell, который открывает удаленный URL-адрес, содержащий другую команду PowerShell, которая затем выполняется.

Команда удаленного сценария PowerShell, показанная ниже, загрузит файл picture.jpg и сохранит его как C:\Users\Public\87764675478.dll. Затем эта программа DLL запускается с помощью команды rundll32.exe.

[IMG WIDTH=1114 HEIGHT=173]https://www.bleepstatic.com/images/news/malware/b/bazaloader/csv-file/powershell-command.jpg[/IMG]

Файл DLL установит BazarLoader, в конечном итоге развернув BazarBackdoor и другие полезные нагрузки на устройстве.

К счастью, когда этот CSV-файл открывается в Excel, программа обнаружит вызов DDE и предложит пользователю «включить автоматическое обновление ссылок», что помечено как проблема безопасности.

Даже если они активируют эту функцию, Excel покажет им другое приглашение, подтверждающее, следует ли разрешить WMIC начать доступ к удаленным данным.

Если пользователь подтвердит оба запроса, Microsoft Excel запустит сценарии PowerShell, DLL будет загружена и выполнена, а BazarBackdoor будет установлен на устройстве.

Хотя эта угроза требует от пользователей подтверждения того, что функция DDE должна быть разрешена для выполнения, генеральный директор AdvIntel Виталий Кремез сказал, что люди становятся жертвами продолжающейся фишинговой атаки.

«Исходя из данных телеметрии BazarBackdoor, за последние два дня мы обнаружили 102 реальных корпоративных и государственных жертвы, не входящих в песочницу, в результате этой фишинговой кампании», — пояснил Кремез в онлайн-обсуждении.

После установки BazarBackdoor злоумышленники получат доступ к корпоративной сети, которую атаки будут использовать для горизонтального распространения по всей сети.

В конечном итоге это может привести к дальнейшему заражению вредоносным ПО, краже данных и внедрению программ-вымогателей.

https://www.bleepingcomputer.com/news/security/malicious-csv-text-files-used-to-install-bazarbackdoor-malware/

1. Добавьте,  пожалуйста, в Ваше сообщение лицензионные данные на продукт ESET.

2. Для дополнительного анализа и подбора дешифратора в антивирусной лаборатории нам необходимы следующие файлы и журналы

[B]«Crypted»[/B] (добавить несколько зашифрованных и оригинальных файлов в архив, без пароля)

[SIZE=9pt]В идеале - 10 документов MS Office (.doc, .xls, .ppt формат) вместе с оригинальными версиями этих же файлов, или зашифрованные стандартные файлы Windows (например, C:\Пользователи\Общие\Изображения\Образцы изображений\пустыня.jpg), Предельный размер вложения - 5 Мб. [/SIZE]

[B]«Filecoder»[/B] (добавить тело вируса-шифратора и записку/инструкцию о выкупе в архив (*.html, *.hta, *.txt или рисунок), с паролем infected )

[SIZE=9pt]Тело шифратора может находиться во архивном вложении (или по ссылке) электронного сообщения, или в карантине антивируса. В этом случае, необходимо временно отключить защиту, найденный файл восстановить из карантина ("восстановить в") в отдельный каталог с изменением расширения: *.exe >> *.vexe; *.hta>> *.vhta; *.txt >>.vtxt.
Архивируем с помощью, например, 7-zip с шифрованием имен файлов.
http://www.7-zip.org/a/7z1510.exe - для 32 - х битных систем.  
http://www.7-zip.org/a/7z1510-x64.exe - для 64 - х битных систем.  [/SIZE]

[B]"ess_logs.zip"[/B] (логи из программы ESETLogCollector)

[SIZE=9pt]Скачайте утилиту ESET Log Collector по ссылке:
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

Перед сбором лога ELC желательно, чтобы на компьютере была установлена последняя версия антивируса с действующей лицензией:
Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  

В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.  Если размер файла превышает 20Мб, выложите файл на общедоступный диск, и пришлите нам ссылку на загрузку данного файла.[/SIZE]

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

[SIZE=9pt]Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.  [/SIZE]

 
-------------------------------

3. Мы настоятельно рекомендуем Вам ознакомиться со следующей статьёй для уменьшения риска повторного заражения в дальнейшем:  


http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1782&ELEMENT_ID=853007

Пользователи сетевых хранилищ (NAS) QNAP сообщают об атаках на свои системы с помощью программы-вымогателя eCh0raix, также известной как [B]QNAPCrypt.[/B]

Злоумышленник, стоящий за этим конкретным вредоносным ПО, активизировал свою деятельность примерно за неделю до Рождества, взяв под контроль устройства с правами администратора.
Подскакивает количество атак перед Рождеством

Пользователи, управляющие системами QNAP и Synology NAS, регулярно сообщают об атаках программ-вымогателей eCh0raix, но около 20 декабря многие из них начали сообщать об инцидентах.

Скачок количества атак подтверждается службой вымогателей ID, количество заявок на которую начало расти 19 декабря и снизилось к 26 декабря.

[IMG WIDTH=1600 HEIGHT=534]https://www.bleepstatic.com/images/news/u/1100723/2021/eCh0raixIDR.png[/IMG]

Первоначальный вектор заражения пока неясен. Некоторые пользователи признают, что они были безрассудными и не защитили устройство должным образом (например, открыли доступ к Интернету через небезопасное соединение); другие утверждают, что уязвимость в Photo Station QNAP позволила злоумышленникам нанести ущерб.

Независимо от пути атаки, похоже, что злоумышленник eCh0raix создает пользователя в группе администраторов, что позволяет им шифровать все файлы в системе NAS.

Пользователи QNAP - некоторые из них используют устройство NAS в деловых целях - сообщили на форуме BleepingComputer, что вредоносная программа зашифровала изображения и документы.

Помимо всплеска числа атак, в этой кампании выделяется то, что злоумышленник неправильно ввел расширение для записки о выкупе и использовал расширение «.TXTT».

[IMG WIDTH=1137 HEIGHT=551]https://www.bleepstatic.com/images/news/u/1100723/2021/eCh0raixNote.jpg[/IMG]

Важно отметить, что существует бесплатный дешифратор для файлов, заблокированных с помощью более старой версии (до 17 июля 2019 г.) вымогателя eCh0raix. Однако бесплатного решения для расшифровки данных, заблокированных последними версиями вредоносного ПО (версии 1.0.5 и 1.0.6), не существует.

Атаки с использованием eCh0raix / QNAPCrypt начались в июне 2019 года и с тех пор представляют собой постоянную угрозу. Ранее в этом году QNAP предупредил своих пользователей об очередном шквале атак eCh0raix в начале этого года, нацеленных на устройства со слабыми паролями.

Пользователи должны следовать рекомендациям QNAP, чтобы обеспечить надлежащую защиту своих устройств NAS и данных, которые они хранят.

https://www.bleepingcomputer.com/news/security/qnap-nas-devices-hit-in-surge-of-ech0raix-ransomware-attacks/

[B]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:[/B]

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE]cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm; .chuk; .AHP; .lina; .TEREN; .cve; .WSHLP; .fresh; .FLYU; .gtsc; .dme; .Crypt; .259; .LCK; .kut; .SWP; .zimba; .help; .sss; .dex; .ZIN; .SUKA; .msf; .lock; .gac; .21btc; .mpr; .4help; .aol; .14x; .hub; .yoAD; .NOV; .Avaad; .crypt; .22btc; .TomLe; .word; .con30; .text; .LOTUS; .wcg; .pauq; .four; .urs; .clman; .ORAL; .Jessy; .ROG; .biden; .eofyd; .duk; .LAO; .pirat; .liz; .bqd2; .4o4; .ctpl; .error; .zphs; .2122; .HPJ; .bdev; .eye; .root; .rdp; .DELTA; .PARTY; .cnc; .ZIG; .xcss; .nmc; .ZEUS; .OFF; .PcS; .pause; .myday; .grej; .DT; .dance; .TOR; [b].MUST; .GanP; .CLEAN; .c0v; .JRB; .dts; .TCYO; .6ix9; .RZA; .RME; .yUixN; .nomad; .MOON; .chld; .WOLF; .NaS; .lsas; .MS; .WORM; .NEEH; .Deeep; .DC; .Xqxqx; .C1024; .ver; .RED; .bmo; .MTX; .cip: .Bl; .kl[/b] [/QUOTE]