ESET CONNECT

День добрый!
подхватили шифровальщика, просьба помочь с расшифровкой файлов.


-----------
[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:[/SIZE]

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE]
  .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;  [B].space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx [/B] [/QUOTE]

здесь можно вносить и обсуждать новые предложения по функционалу uVS

[QUOTE]Петр Петрович написал:
попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл.[/QUOTE]
это не Crysis, другой, неведомый(пока) шифратор.
Если есть записка о выкупе (info.hta), добавьте записку, + сделайте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

Первая информация о шифраторе Cryakl опубликована на [URL=https://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/]securelist.ru[/URL] в октябре 2014 года.

  [QUOTE] В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.[/QUOTE]


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
[B]ver-4.0.0.0[/B]
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf

[B][B]известные почты:[/B][/B]

  [SIZE=8pt] email-masfantomas@aol.com
   email-HELPFILEDESKRIPT111@GMAIL.COM
   email-helpdecrypt@gmail.com
   email-helpdecrypt123@gmail.com
   email-deskripshen1c@gmail.com
   email-deskr1000@gmail.com
   email-mserbinov@onionmail.in
   email-vernutfiles@gmail.com
   email-base1c1c1c@gmail.com[/SIZE]


[B]примеры автозапуска в системе:[/B]

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

[B]ver-6.1.0.0[/B]
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}-email-moshiax@aol.com-ver-6.1.0.0.b.cbf

[B]известные почты:[/B]
[SIZE=8pt]
   email-moshiax@aol.com
   email-mserbinov@aol.com
   email-watnik91@aol.com
   email-vpupkin3@aol.com[/SIZE]

возможно, их гораздо больше
[B]примеры автозапуска в системе:[/B]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

[B]ver-8.0.0.0[/B]
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}-email-moshiax@aol.com-ver-8.0.0.0.cbf

[B]известные почты:[/B]

[SIZE=8pt]email-moshiax@aol.com
   email-watnik91@aol.com[/SIZE]

[B]примеры автозапуска в системе:[/B]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

[B]ver-CL 0.0.1.0[/B]

[B]пример зашифрованного файла:[/B]
email-mserbinov@aol.com.ver-CL 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@58@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

[B]известные почты:[/B]

  [SIZE=8pt]email-mserbinov@aol.com
   d_madre@aol.com
   trojanencoder@aol.com
   iizomer@aol.com[/size]

[B]примеры автозапуска в системе:[/B]

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

[B]ver-CL 1.0.0.0[/B]

[B]пример зашифрованного файла:[/B]
email-cryptolocker@aol.com.ver-CL 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@36@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.

[B]известные почты:[/B]

   [SIZE=8pt]email-gerkaman@aol.com
   email-Seven_Legion2@aol.com
   email-gcaesar2@aol.com
   email-Igor_svetlov2@aol.com
    email-ninja.gaiver@aol.com
    email-bekameka777@aol.com
    email- last.centurion@aol.com
    email-a_princ@aol.com
    email-Cryptolocker@aol.com
    email-ivanov34@aol.com
    email-vpupkin3@aol.com
    email-oduvansh@aol.com
    email-trojanencoder@aol.com
    email-iizomer@aol.com
    email-moshiax@aol.com
    email-load180@aol.com
    email-watnik91@aol.com[/size]

[B]примеры автозапуска в системе:[/B]

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

[B]ver-CL 1.0.0.0u[/B]

пример зашифрованного файла:
[IMG WIDTH=685 HEIGHT=63]https://chklst.ru/uploads/editor/bj/rfaa3s2ssup6.jpg[/IMG]

[B]известные почты:[/B]

   [SIZE=8pt]email-iizomer@aol.com
   email-cryptolocker@aol.com_graf1
   email-cryptolocker@aol.com_mod
   email-byaki_buki@aol.com_mod2[/size]


[B]ver-CL 1.1.0.0[/B]

пример зашифрованного файла:
email-eric.decoder10@gmail.com.ver-CL 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@39@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
[B]известные почты:[/B]

   [SIZE=8pt]email-hontekilla@india.com
   email-gerkaman@aol.com
   email-oduvansh@aol.com
   eric.decoder10@gmail.com
   email-trojanencoder@aol.com
   email-watnik91@aol.com
   seven_legin2@aol.com
   email-obamausa7@aol.com
   email-gcaesar2@aol.com[/size]

[B]примеры автозапуска в системе:[/B]

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

[b]ver-CL 1.2.0.0[/b]

[b]пример зашифрованного файла:[/b]
email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@04@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf

[b]известные почты:[/b]

   [size=8pt]email-anton_ivanov34@aol.com
   email-trojanencoder@aol.com
   email-iizomer@aol.com
   email-ivan_fedorov16@aol.com
   !email-cryptoloker@aol.com
   email-zed.zorro1@aol.com
   email-fedor_pavlov13@yahoo.com
   email-agent.vayne@india.com
   email-moshiax@aol.com
   ! email-oduvansh@aol.com
   email-gcaesar2@aol.com
   email-crypt.cryptor@aol.com
   email-age_empires@ aol.com[/size]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

[b]ver-CL 1.3.0.0[/b]
пример зашифрованного файла:
email-moshiax@aol.com.ver-CL 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@08@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:

   [SIZE=8pt]email-moshiax@aol.com
   cryptolocker@aol.com[/size]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

[b]ver-CL 1.3.1.0[/b]

пример зашифрованного файла:
[IMG WIDTH=684 HEIGHT=82]https://chklst.ru/uploads/editor/i7/k6b5cju7r7id.jpg[/IMG]
известные почты:

   [size=8pt]byaki_buki@aol.com_grafdrkula@gmail.com
   email-byaki_buki@aol.com
   email-iizomer@aol.com
   email-crypthelp@qq.com
   email-tapok@tuta.io
   email-iizomer.iizomer@yandex.ru_iizomer@aol.com
   email-v_pupkin@aol.com
   email-mortalis_certamen@aol.com
   email-salazar_slytherin10@yahoo.com
   email-200usd@india.com
   email-eugene_danilov@yahoo.com[/size]
   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

[b]fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)[/b]

пример зашифрованного файла:

   email-blackdragon43@yahoo.com.ver-CL 1.4.0.0.id-3908370012-23.03.2018 10@01@539726651.fname-Правила поведения вахтеров.jpg.fairytail

известные почты:

    [SIZE=8pt]email-blackdragon43@yahoo.com
   email-hola@all-ransomware.info[/size]

примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

[b]doubleoffset (CL 1.5.1.0)[/b]

пример зашифрованного файла:
email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[size=8pt]email-3nity@tuta.io
   email-butterfly.iron@aol.com
   email-n_nightmare@yahoo.com
   email-vally@x-mail.pro
   email-blackdragon43@yahoo.com
   email-dorispackman@tuta.io
   email-hola@all-ransomware.info
   email-coolguay@tutanota.com
   email-biger@x-mail.pro
   email-tapok@tuta.io
   email-komar@tuta.io[/size]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

[b]CS 1.6.0.0[/b]

пример зашифрованного файла:

известные почты:

   [size=8pt]email-sugarman@tutamail.com
   email-3nity@tuta.io
   email-mr.yoba@aol.com[/size]

[b]CS 1.7.0.1[/b]
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][opensafezona@protonmail.com].git
известные почты:

   [size=8pt]opensafezona@protonmail.com[/size]

[b]CS 1.8.0.0[/b]
пример зашифрованного файла:
branding.xml[grand@horsefucker.org][2094653670-1579267651].whv
известные почты:

[size=8pt] graff_de_malfet@protonmail.ch
   grand@horsefucker.org
   tomascry@protonmail.com[/size]

[B]CryLock 1.9.0.0[/B]

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[reddragon3335799@protonmail.ch][special].[10ABB6A7-867BCEF7]

известные почты:
[size=8pt]
reddragon3335799@protonmail.ch
   graff_de_malfet@protonmail.ch
   coronovirus@protonmail.com[/size]

Компании с использованием вымогателей под управлением операторов являются значительной и растущей угрозой для бизнеса и представляют собой одну из наиболее эффективных тенденций в современных кибератаках. В этих рукопашных атаках, которые отличаются от автоматического распространения вымогателей (WannaCry или NotPetya), злоумышленники используют методы кражи учетных данных и горизонтального перемещения. [B]Они обладают обширными знаниями в области системного администрирования и общих неправильных настроек безопасности сети, проводят тщательную разведку и адаптируются к тому, что обнаруживают в скомпрометированной сети.[/B]

Подобные атаки часто начинаются с «товарного вредоносного ПО», такого как банковские трояны, или «несложных» векторов атак, которые обычно вызывают множественные оповещения об обнаружении; тем не менее, они считаются несущественными и поэтому не подвергаются тщательному исследованию и устранению. Кроме того, начальные полезные нагрузки часто останавливаются антивирусными решениями, но злоумышленники развертывают другую полезную нагрузку или используют административный доступ для отключения антивируса, чтобы не привлекать внимание к службам реагирования на инциденты или операционным центрам безопасности (SOC).

Одним из действующих лиц, появившихся в этой тенденции атак, управляемых оператором, является активная, высоко адаптивная группа (PARINACOTA), которая часто использует Dharma в качестве полезной нагрузки.

[B]Атаки PARINACOTA, как правило, с помощью грубой силы проникают на серверы, на которых открыт из внешней сети протокол удаленного рабочего стола (RDP), с целью дальнейшего горизонтального перемещения внутри сети или выполнения brute forces против целей за пределами сети. Это позволяет группе расширять скомпрометированную инфраструктуру под их контролем.[/B] Часто, группа нацеливается на встроенные локальные учетные записи администраторов или список общих имен учетных записей. В других случаях группа нацелена на учетные записи Active Directory (AD), которые они скомпрометировали или имеют предварительные знания, таких как учетные записи служб известных поставщиков.

Группа использует метод brute forces RDP, который ранее применяли печально известный Samas (SamSam). Другие семейства вредоносных программ, такие как GandCrab, MegaCortext, LockerGoga, Hermes и RobbinHood, также использовали этот метод в целевых атаках.

[IMG WIDTH=1120 HEIGHT=978]https://chklst.ru/uploads/editor/wi/2k11kiwly0ic.png[/IMG]

Чтобы найти цели, группа сканирует Интернет на наличие машин, которые прослушивают порт RDP 3389. Злоумышленники могут это делать с зараженных компьютеров, используя такие инструменты, как Masscan.exe, которые обнаруживают уязвимые машины во всем Интернете менее чем за шесть минут.

Как только уязвимая цель найдена, группа начинает атаку грубой силой с использованием таких инструментов, как NLbrute.exe или ForcerX, начиная с общих имен пользователей, таких как «admin», «administrator», «guest» или «test». После успешного получения доступа к сети группа проверяет скомпрометированный компьютер на предмет подключения к Интернету и вычислительной мощности. Они определяют, соответствует ли машина определенным требованиям, прежде чем использовать ее для проведения последующих атак RDP методом перебора против других целей. Эта тактика, которая не использовалась аналогичными операторами вымогателей, дает им доступ к дополнительной инфраструктуре, которая с меньшей вероятностью будет заблокирована. Фактически, группа наблюдала за тем, чтобы их инструменты работали на скомпрометированных машинах месяцами подряд.

После отключения решений по безопасности группа часто загружает ZIP-архив, содержащий десятки известных инструментов атакующего и пакетные файлы для кражи учетных данных, устойчивости, разведки и других действий, не опасаясь предотвращения следующих этапов атаки. С помощью этих инструментов и пакетных файлов группа очищает журналы событий с помощью wevutil.exe, а также проводит обширную разведку на компьютере и в сети, обычно ища возможности для бокового перемещения с использованием обычных инструментов сетевого сканирования. При необходимости группа повышает привилегии от локального администратора до SYSTEM, используя функции специальных возможностей в сочетании с командным файлом или загруженными файлами, названными в честь определенных CVE, на которые они влияют, также известных как атака «Sticky Keys».

Группа сбрасывает учетные данные из процесса LSASS, используя такие инструменты, как Mimikatz и ProcDump, чтобы получить доступ к соответствующим паролям локальных администраторов или учетным записям служб с высокими привилегиями, которые можно использовать для запуска в качестве запланированной задачи или службы или даже для интерактивного использования. Затем PARINACOTA использует тот же сеанс удаленного рабочего стола для эксфильтрации полученных учетных данных. Группа также пытается получить учетные данные для определенных банковских или финансовых веб-сайтов, используя findstr.exe для проверки файлов cookie, связанных с этими сайтами.

PARINACOTA устанавливает постоянные учетные данные, используя различные методы, в том числе:

Изменения реестра с использованием файлов .bat или .reg для разрешения соединений RDP

Настройка доступа через существующие приложения удаленной помощи или установка бэкдора.

Создание новых локальных учетных записей и добавление их в группу локальных администраторов.

Чтобы определить тип полезной нагрузки для развертывания, PARINACOTA использует такие инструменты, как Process Hacker, для идентификации активных процессов. Злоумышленники не всегда сразу устанавливают вымогателей; было замечено, что они устанавливают майнеры и используют massmail.exe для запуска спам-кампаний, в основном используя корпоративные сети в качестве распределенной вычислительной инфраструктуры для получения прибыли. Тем не менее, группа через несколько недель возвращается на те же машины, чтобы установить вымогателей.

Группа выполняет те же самые общие действия для доставки полезной нагрузки вымогателей:

        Размещает вредоносный файл HTA (во многих случаях hta) с использованием различных точек расширяемости автозапуска (ASEPs), но часто с ключами запуска реестра или папкой автозагрузки.
        Удаляет локальные резервные копии, чтобы предотвратить восстановление выкупленных файлов.
        Останавливает активные службы, которые могут мешать шифрованию.

[IMG WIDTH=379 HEIGHT=653]https://chklst.ru/uploads/editor/p8/u3j300x8e828.png[/IMG]

PARINACOTA регулярно использует криптомайнеры Monero на взломанных машинах, что позволяет им получать равномерную прибыль независимо от типа машины, к которой они обращаются.

https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/

[B]Детали оповещения[/B]

[B]Мы хотели бы сообщить вам, что мы обнаружили проблему в более старых версиях продуктов наших бизнес-продуктов Windows, в частности ESET Endpoint Antivirus / ESET Endpoint Security v5 (старше 5.0.2271), ESET Endpoint Antivirus / ESET Endpoint Security / ESET Защита файлов для Windows 6.5.2000+, ESET Mail Security для Microsoft Exchange Server 6.5, ESET Security для Kerio 6.5, ESET Mail Security для Domino 6.5 и ESET Security для Sharepoint Server 6.5.[/B]

Эта проблема НЕ касается последних версий наших продуктов, включая последние версии ESET Endpoint Antivirus / ESET Endpoint Security - 6.6.2089 и ESET File Security для Windows 7.1.12018, и клиенты, использующие последние версии, никак не затрагиваются. Эта проблема относится к уязвимым версиям, перечисленным и описанным ниже.

ESET обнаружила, что в нашем ядре есть проблема с проверкой отметки времени уже истекшего сертификата (срок действия которого истек 7 февраля 2020 г.). Этот метод дает сбой, и наши модули в более старых, устаревших версиях объявляются как ненадежные и поэтому не загружаются. Этот механизм гарантирует, что ненадежная библиотека не загружается.

В результате уязвимые версии не загружают модули (брандмауэр, HIPS, обновление, защита устройства, защита через Интернет и электронную почту) и не работают, поэтому защита не работает.

[B]Новейшие версии наших продуктов НЕ затрагиваются.[/B]

Симптомы:
Для версий старше 5.0.2271.x симптомы:
- Не удалось загрузить модули для семейства v5
- Графический интерфейс главного окна на английском языке и логотип показывает ESET Smart Security 5 вместо Endpoint Security

Для версий 6.5.x симптомы:
- Отчеты о продуктах антифишинга отключены
- Продукт сообщает, что он не активирован
- У расширенных настроек продукта отсутствуют функции

Если ими управляет наш ESET Remote Administrator или ESET Security Management Center, они обратятся к соответствующей параметрической группе и сообщат о предупреждении как не активированном, а модуль антифишинга - как неработающий.

В случаях, когда библиотеки загружены, SelfDefense защищает процесс EKRN и делает невозможным удаление.


[B]Решение
Важно![/B]

Если вы используете уязвимые версии и проблема не проявляется, не перезагружайте компьютер и немедленно выполните обновление.

На данный момент не существует автоматического решения, и ESET работает над подготовкой такого решения для большинства версий, когда это возможно.

[B]Мы рекомендуем обновить конечные точки v5 до последней версии v5.0.2271.x, которая, по возможности, не затронута. В противном случае мы рекомендуем удалить v5 и установить ESET Endpoint Antivirus / ESET Endpoint Security 7.2.

Для семейства v6.5 мы настоятельно рекомендуем обновить до последней версии ESET Endpoint Antivirus / ESET Endpoint Security 7.2 или ESET File Security для Windows / ESET Mail Security для Microsoft Exchange Server / ESET Mail Security для Domino / ESET Security для Sharepoint Server 7.1 ,
[/B]
Для ESET Security для Kerio 6.5 мы работаем над этим и исправим его как можно скорее.

Если вы используете Windows XP с EEA / EES 6.5.x, мы рекомендуем перейти на последнюю версию EEA / EES 5.0.2271.

Если эта проблема уже возникла на ваших компьютерах, и вы не можете удалить и / или обновить продукты ESET, обратитесь к местному клиенту ESET, который предоставит вам решение и проведет вас через весь процесс.


[B]Пострадавшие сборки:[/B]

ESET Endpoint Antivirus и ESET Endpoint Security для Windows, версии от 5.0.2126.0 до 5.0.2260.x
Последняя доступная сборка ESET Endpoint Antivirus / ESET Endpoint Security 5.0.2271.0 не затрагивается.


ESET Endpoint Antivirus, ESET Endpoint Security и ESET File Security для Windows, версии 6.5.x
Последняя версия ESET Endpoint Antivirus / ESET Endpoint Security 6.6.2089.x и 7.2.2055.x не затронута, равно как и последняя версия 7.1.12018.x ESET File Security для Windows.

[B]Если у вас есть какие-либо проблемы или вопросы - или вы не можете перейти на последние версии - не стесняйтесь обращаться в службу поддержки клиентов ESET в вашем регионе.[/B]

https://support.eset.com/en/alert7396-legacy-products-startup-issue

Хотя уязвимость BlueKeep (CVE-2019-0708) до настоящего времени не вызывала широкомасштабного хаоса, и мы рассмотрим причины, по которым в этом посте она все еще находится на очень ранней стадии жизненного цикла эксплуатации. Факт остается фактом, что многие системы все еще не исправлены, и все еще можно найти полностью исправленную версию эксплойта. Из-за этих факторов ESET создала бесплатную утилиту для проверки уязвимости системы.
https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetblu­ekeepchecker.exe

Существует множество серверов, работающих под управлением различных версий серверных операционных систем Microsoft Windows, которые напрямую подключены к Интернету, что практически не обеспечивает безопасности доступа к ним.

[B]Что такое RDP?[/B]

RDP, сокращение от «Протокол удаленного рабочего стола», позволяет одному компьютеру подключаться к другому компьютеру по сети, чтобы использовать его удаленно. В домене компьютеры с операционной системой Windows Client, такой как Windows XP или Windows 10, поставляются с предустановленным клиентским программным обеспечением RDP как часть операционной системы, которая позволяет им подключаться к другим компьютерам в сети, включая сервер организации ( с).

Сегодня, обычно к пользователям RDP относятся системные администраторы, выполняющие удаленное администрирование серверов, а также удаленные работники, которые могут подключаться к виртуализированным настольным компьютерам внутри домена своей организации.

За последние несколько лет в ESET наблюдают рост числа случаев, когда злоумышленники подключались к Интернету с помощью RDP удаленно к Windows Server через Интернет и входили в систему как администратор компьютера. После того, как злоумышленники войдут на сервер как администратор. Далее, они выполняют различные действия:

  [QUOTE] очистка лог-файлов, содержащих доказательства их присутствия в системе;
   отключение запланированных резервных копий и теневых копий;
   отключение защитного программного обеспечения или настройка исключений в нем (что разрешено администраторам);
   загрузка и установка различных программ на сервер;
   стирание или перезапись старых резервных копий, если они доступны;
   эксфильтрация данных с сервера;
   установка программ добычи монет для генерации криптовалюты, таких как Monero;
   установка Ransomware с целью вымогательства денег у организации, которые часто выплачиваются с использованием криптовалюты, такой как биткойны.[/QUOTE]


Уязвимость BlueKeep позволяет злоумышленникам запускать произвольный программный код на компьютерах своих жертв. Поскольку они могут использовать автоматизированные инструменты для атак, эта атака может распространяться автоматически по сетям без какого-либо вмешательства пользователей, как Win32 / Diskcoder.C ( ака NotPetya) и Conficker в прошлом.

В начале сентября Rapid7, разработчик инструмента пентестинга Metasploit, объявил о выпуске эксплойта BlueKeep. Несмотря на то, что в течение следующих нескольких месяцев не было зарегистрировано заметного увеличения активности BlueKeep, в последнее время ситуация изменилась. В начале ноября, как отмечают ZDNet и WIRED, стали доступны массовые сообщения об эксплуатации BlueKeep. По сообщениям, атаки были менее чем успешными: около 91% уязвимых компьютеров вылетали с ошибкой остановки (так называемая проверка ошибок или синий экран смерти), когда злоумышленник пытается использовать уязвимость BlueKeep. Однако на оставшихся 9% уязвимых компьютеров эти злоумышленники успешно установили программное обеспечение для криптомайнинга Monero.

[B]Защита от злоумышленников, атакующих RDP[/B]

Итак, учитывая все это, что вы можете сделать? Ну, во-первых, очевидно, чтобы прекратить подключение напрямую к вашим серверам через Интернет с помощью RDP. Поддержка Windows Server 2008 и Windows 7 заканчивается в январе 2020 года, наличие компьютеров под управлением этих компьютеров и их прямой доступ через RDP через Интернет представляет собой риск для вашего бизнеса, который вы уже должны планировать снизить.

Это не означает, что вам необходимо немедленно прекратить использование RDP, но вам необходимо предпринять дополнительные шаги, чтобы обезопасить его как можно скорее и как можно быстрее. С этой целью мы создали таблицу с десятью основными шагами, которые вы можете предпринять, чтобы начать защищать свои компьютеры от атак на основе RDP.

[QUOTE] 1. Запретить внешние подключения к локальным компьютерам через порт 3389 (TCP / UDP) на межсетевом экране периметра. * Блокирует доступ к RDP из Интернета.
   (* По умолчанию RDP работает на порте 3389. Если вы изменили этот порт на другое значение, то этот порт должен быть заблокирован.)

   2. Протестируйте и разверните исправления для уязвимости CVE-2019-0708 (BlueKeep) и включите аутентификацию на уровне сети (NLA) как можно быстрее. Установка исправления Microsoft и следование их предписывающим рекомендациям помогает обеспечить защиту устройств от уязвимости BlueKeep.

   3. Для всех учетных записей, в которые можно войти через RDP, требуются сложные пароли (обязательна длинная парольная фраза, содержащая более 15 символов). Защищает от взлома паролей и взлома учетных данных.

   4. Установите двухфакторную аутентификацию (2FA) и, как минимум, требуйте ее для всех учетных записей, в которые можно войти через RDP. Требуется второй уровень аутентификации, доступный сотрудникам только через мобильный телефон, токен или другой механизм для входа в компьютеры.

   5. Установите шлюз виртуальной частной сети (VPN), чтобы обеспечить безопасность во всех RDP-подключениях вне локальной сети. Предотвращает RDP-соединения между интернетом и вашей локальной сетью.

   6. Защитите программное обеспечение для защиты конечных точек паролем, используя надежный пароль, не связанный с учетными записями администраторов и служб.

   7. Включите блокировку эксплойтов в программном обеспечении безопасности конечных точек. Убедитесь, что эта функция включена.

   8. Изолируйте любой небезопасный компьютер, к которому требуется доступ из Интернета, используя RDP.

   9. Заменить небезопасные компьютеры. Если компьютер не может быть исправлен с помощью уязвимости BlueKeep, запланируйте его своевременную замену.

   10. Рассмотрите возможность блокировки geoIP на шлюзе VPN. Если сотрудники и поставщики находятся в одной и той же стране или в небольшом списке стран, рассмотрите возможность блокировки доступа из других стран, чтобы предотвратить соединения со стороны иностранных злоумышленников.[/QUOTE]


[B]Использование средства проверки уязвимости ESET BlueKeep (CVE-2019-0708)[/B]

ESET выпустила бесплатный инструмент BlueKeep (CVE-2019-0708), чтобы проверить, уязвим ли компьютер под управлением Windows. На момент публикации инструмент можно загрузить с:

   Program ESET BlueKeep (CVE-2019-0708) vulnerability checker
   Version 1.0.0.1
   Location https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetblu­ekeepchecker.exe
   SHA-1 hash C0E66EA2659D2EA172950572FDB5DE881D3882D8


При запуске программа сообщит, уязвима ли система для эксплуатации BlueKeep или нет. В случае уязвимости системы инструмент переместит пользователя на веб-страницу, чтобы загрузить соответствующий патч на веб-сайте Microsoft.

[IMG WIDTH=666 HEIGHT=333]https://chklst.ru/uploads/editor/zd/zh4m7q1881yd.jpg[/IMG]

подробнее здесь:

https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-internet/

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; [B].rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; .GTF; .Mark[/B]
[/QUOTE]

[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:[/SIZE]

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[B]для коммерческих продуктов:[/B]

ESET Endpoint Antivirus
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.1.2045.5 11-Apr-19 Full Support Limited Support TBA
6.6 24-Aug-17 6.6.2089.2 13-Nov-18 Full Support Limited Support TBA
6.5 14-Mar-17 6.5.2123.5 28-Nov-17 Full Support Limited Support TBA

ESET Endpoint Security
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.1.2045.5 11-Apr-19 Full Support Limited Support TBA
6.6 25-Feb-15 6.6.2089.2 13-Nov-18 Full Support Limited Support TBA
6.5 14-Mar-17 6.5.2123.5 28-Nov-17 Full Support Limited Support TBA

ESET File Security for Microsoft Windows Server
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.0.12018.0 29-Jan-19 Full Support Limited Support TBA
6.5 28-Feb-17 6.5.12018.0 28-Aug-18 Full Support Limited Support TBA
6.4 7-Sep-16 6.4.12004.0 30-Nov-16 Full Support Limited Support TBA

https://support.eset.com/kb3592/

[B]для домашних продуктов:[/B]

ESET Smart Security Premium
Version Release Date Latest Build Updated Status Next Status Expected EOL
12 23-Oct-18 12.2.23.0 18-Jul-19 Full Support Limited Support Dec 2022
11 24-Oct-17 11.2.63.0 11-Sep-18 Limited Support Basic Support Dec 2021
10 25-Oct-16 10.1.245.0 17-May-18 Basic Support End of Life Dec 2020

ESET NOD32 Antivirus
Version Release Date Latest Build Updated Status Next Status Expected EOL
12 23-Oct-18 12.2.23.0 18-Jul-19 Full Support Limited Support Dec 2022
11 24-Oct-17 11.2.63.0 11-Sep-18 Limited Support Basic Support Dec 2021
10 25-Oct-16 10.1.245.0 17-May-18 Basic Support End of Life Dec 2020

https://support.eset.com/kb3678/?segment=home

на текущий момент известные варианты[B] CrySis/Dharma[/B], которые не могут быть расшифрованы без выкупа:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day;[B] .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; .kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS[/B][/QUOTE]

[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:
[/SIZE]
1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);