Первая информация о шифраторе Cryakl опубликована на [URL=https://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/]securelist.ru[/URL] в октябре 2014 года.

  [QUOTE] В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.[/QUOTE]


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
[B]ver-4.0.0.0[/B]
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[email protected]

[B][B]известные почты:[/B][/B]

  [SIZE=8pt] [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][/SIZE]


[B]примеры автозапуска в системе:[/B]

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

[B]ver-6.1.0.0[/B]
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}[email protected]

[B]известные почты:[/B]
[SIZE=8pt]
   [email protected]
   [email protected]
   [email protected]
   [email protected][/SIZE]

возможно, их гораздо больше
[B]примеры автозапуска в системе:[/B]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

[B]ver-8.0.0.0[/B]
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}[email protected]

[B]известные почты:[/B]

[SIZE=8pt][email protected]
   [email protected][/SIZE]

[B]примеры автозапуска в системе:[/B]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

[B]ver-CL 0.0.1.0[/B]

[B]пример зашифрованного файла:[/B]
[email protected] 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@[email protected]

[B]известные почты:[/B]

  [SIZE=8pt][email protected]
   [email protected]
   [email protected]
   [email protected][/size]

[B]примеры автозапуска в системе:[/B]

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

[B]ver-CL 1.0.0.0[/B]

[B]пример зашифрованного файла:[/B]
[email protected] 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@[email protected]
видим, что закодированное имя перемещено в конец заголовка.

[B]известные почты:[/B]

   [SIZE=8pt][email protected]
   [email protected]
   [email protected]
   [email protected]
    [email protected]
    [email protected]
    email- [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected][/size]

[B]примеры автозапуска в системе:[/B]

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

[B]ver-CL 1.0.0.0u[/B]

пример зашифрованного файла:
[IMG WIDTH=685 HEIGHT=63]https://chklst.ru/uploads/editor/bj/rfaa3s2ssup6.jpg[/IMG]

[B]известные почты:[/B]

   [SIZE=8pt][email protected]
   [email protected]_graf1
   [email protected]_mod
   [email protected]_mod2[/size]


[B]ver-CL 1.1.0.0[/B]

пример зашифрованного файла:
[email protected] 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@[email protected]
[B]известные почты:[/B]

   [SIZE=8pt][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][/size]

[B]примеры автозапуска в системе:[/B]

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

[b]ver-CL 1.2.0.0[/b]

[b]пример зашифрованного файла:[/b]
[email protected] 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@[email protected]

[b]известные почты:[/b]

   [size=8pt][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   ! [email protected]
   [email protected]
   [email protected]
   email-age_empires@ aol.com[/size]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

[b]ver-CL 1.3.0.0[/b]
пример зашифрованного файла:
[email protected] 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@[email protected]
известные почты:

   [SIZE=8pt][email protected]
   [email protected][/size]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

[b]ver-CL 1.3.1.0[/b]

пример зашифрованного файла:
[IMG WIDTH=684 HEIGHT=82]https://chklst.ru/uploads/editor/i7/k6b5cju7r7id.jpg[/IMG]
известные почты:

   [size=8pt][email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][/size]
   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

[b]fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)[/b]

пример зашифрованного файла:

   [email protected] 1.4.0.0.id-3908370012-23.03.2018 10@[email protected]Правила поведения вахтеров.jpg.fairytail

известные почты:

    [SIZE=8pt][email protected]
   [email protected][/size]

примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

[b]doubleoffset (CL 1.5.1.0)[/b]

пример зашифрованного файла:
[email protected] 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[size=8pt][email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected]
   [email protected][/size]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

[b]CS 1.6.0.0[/b]

пример зашифрованного файла:

известные почты:

   [size=8pt][email protected]
   [email protected]
   [email protected][/size]

[b]CS 1.7.0.1[/b]
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][[email protected]].git
известные почты:

   [size=8pt][email protected][/size]

[b]CS 1.8.0.0[/b]
пример зашифрованного файла:
branding.xml[[email protected]][2094653670-1579267651].whv
известные почты:

[size=8pt] [email protected]
   [email protected]
   [email protected][/size]

[B]CryLock 1.9.0.0[/B]

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[[email protected]][special].[10ABB6A7-867BCEF7]

известные почты:
[size=8pt]
[email protected]
   [email protected]
   [email protected][/size]

Компании с использованием вымогателей под управлением операторов являются значительной и растущей угрозой для бизнеса и представляют собой одну из наиболее эффективных тенденций в современных кибератаках. В этих рукопашных атаках, которые отличаются от автоматического распространения вымогателей (WannaCry или NotPetya), злоумышленники используют методы кражи учетных данных и горизонтального перемещения. [B]Они обладают обширными знаниями в области системного администрирования и общих неправильных настроек безопасности сети, проводят тщательную разведку и адаптируются к тому, что обнаруживают в скомпрометированной сети.[/B]

Подобные атаки часто начинаются с «товарного вредоносного ПО», такого как банковские трояны, или «несложных» векторов атак, которые обычно вызывают множественные оповещения об обнаружении; тем не менее, они считаются несущественными и поэтому не подвергаются тщательному исследованию и устранению. Кроме того, начальные полезные нагрузки часто останавливаются антивирусными решениями, но злоумышленники развертывают другую полезную нагрузку или используют административный доступ для отключения антивируса, чтобы не привлекать внимание к службам реагирования на инциденты или операционным центрам безопасности (SOC).

Одним из действующих лиц, появившихся в этой тенденции атак, управляемых оператором, является активная, высоко адаптивная группа (PARINACOTA), которая часто использует Dharma в качестве полезной нагрузки.

[B]Атаки PARINACOTA, как правило, с помощью грубой силы проникают на серверы, на которых открыт из внешней сети протокол удаленного рабочего стола (RDP), с целью дальнейшего горизонтального перемещения внутри сети или выполнения brute forces против целей за пределами сети. Это позволяет группе расширять скомпрометированную инфраструктуру под их контролем.[/B] Часто, группа нацеливается на встроенные локальные учетные записи администраторов или список общих имен учетных записей. В других случаях группа нацелена на учетные записи Active Directory (AD), которые они скомпрометировали или имеют предварительные знания, таких как учетные записи служб известных поставщиков.

Группа использует метод brute forces RDP, который ранее применяли печально известный Samas (SamSam). Другие семейства вредоносных программ, такие как GandCrab, MegaCortext, LockerGoga, Hermes и RobbinHood, также использовали этот метод в целевых атаках.

[IMG WIDTH=1120 HEIGHT=978]https://chklst.ru/uploads/editor/wi/2k11kiwly0ic.png[/IMG]

Чтобы найти цели, группа сканирует Интернет на наличие машин, которые прослушивают порт RDP 3389. Злоумышленники могут это делать с зараженных компьютеров, используя такие инструменты, как Masscan.exe, которые обнаруживают уязвимые машины во всем Интернете менее чем за шесть минут.

Как только уязвимая цель найдена, группа начинает атаку грубой силой с использованием таких инструментов, как NLbrute.exe или ForcerX, начиная с общих имен пользователей, таких как «admin», «administrator», «guest» или «test». После успешного получения доступа к сети группа проверяет скомпрометированный компьютер на предмет подключения к Интернету и вычислительной мощности. Они определяют, соответствует ли машина определенным требованиям, прежде чем использовать ее для проведения последующих атак RDP методом перебора против других целей. Эта тактика, которая не использовалась аналогичными операторами вымогателей, дает им доступ к дополнительной инфраструктуре, которая с меньшей вероятностью будет заблокирована. Фактически, группа наблюдала за тем, чтобы их инструменты работали на скомпрометированных машинах месяцами подряд.

После отключения решений по безопасности группа часто загружает ZIP-архив, содержащий десятки известных инструментов атакующего и пакетные файлы для кражи учетных данных, устойчивости, разведки и других действий, не опасаясь предотвращения следующих этапов атаки. С помощью этих инструментов и пакетных файлов группа очищает журналы событий с помощью wevutil.exe, а также проводит обширную разведку на компьютере и в сети, обычно ища возможности для бокового перемещения с использованием обычных инструментов сетевого сканирования. При необходимости группа повышает привилегии от локального администратора до SYSTEM, используя функции специальных возможностей в сочетании с командным файлом или загруженными файлами, названными в честь определенных CVE, на которые они влияют, также известных как атака «Sticky Keys».

Группа сбрасывает учетные данные из процесса LSASS, используя такие инструменты, как Mimikatz и ProcDump, чтобы получить доступ к соответствующим паролям локальных администраторов или учетным записям служб с высокими привилегиями, которые можно использовать для запуска в качестве запланированной задачи или службы или даже для интерактивного использования. Затем PARINACOTA использует тот же сеанс удаленного рабочего стола для эксфильтрации полученных учетных данных. Группа также пытается получить учетные данные для определенных банковских или финансовых веб-сайтов, используя findstr.exe для проверки файлов cookie, связанных с этими сайтами.

PARINACOTA устанавливает постоянные учетные данные, используя различные методы, в том числе:

Изменения реестра с использованием файлов .bat или .reg для разрешения соединений RDP

Настройка доступа через существующие приложения удаленной помощи или установка бэкдора.

Создание новых локальных учетных записей и добавление их в группу локальных администраторов.

Чтобы определить тип полезной нагрузки для развертывания, PARINACOTA использует такие инструменты, как Process Hacker, для идентификации активных процессов. Злоумышленники не всегда сразу устанавливают вымогателей; было замечено, что они устанавливают майнеры и используют massmail.exe для запуска спам-кампаний, в основном используя корпоративные сети в качестве распределенной вычислительной инфраструктуры для получения прибыли. Тем не менее, группа через несколько недель возвращается на те же машины, чтобы установить вымогателей.

Группа выполняет те же самые общие действия для доставки полезной нагрузки вымогателей:

        Размещает вредоносный файл HTA (во многих случаях hta) с использованием различных точек расширяемости автозапуска (ASEPs), но часто с ключами запуска реестра или папкой автозагрузки.
        Удаляет локальные резервные копии, чтобы предотвратить восстановление выкупленных файлов.
        Останавливает активные службы, которые могут мешать шифрованию.

[IMG WIDTH=379 HEIGHT=653]https://chklst.ru/uploads/editor/p8/u3j300x8e828.png[/IMG]

PARINACOTA регулярно использует криптомайнеры Monero на взломанных машинах, что позволяет им получать равномерную прибыль независимо от типа машины, к которой они обращаются.

https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/

[B]Детали оповещения[/B]

[B]Мы хотели бы сообщить вам, что мы обнаружили проблему в более старых версиях продуктов наших бизнес-продуктов Windows, в частности ESET Endpoint Antivirus / ESET Endpoint Security v5 (старше 5.0.2271), ESET Endpoint Antivirus / ESET Endpoint Security / ESET Защита файлов для Windows 6.5.2000+, ESET Mail Security для Microsoft Exchange Server 6.5, ESET Security для Kerio 6.5, ESET Mail Security для Domino 6.5 и ESET Security для Sharepoint Server 6.5.[/B]

Эта проблема НЕ касается последних версий наших продуктов, включая последние версии ESET Endpoint Antivirus / ESET Endpoint Security - 6.6.2089 и ESET File Security для Windows 7.1.12018, и клиенты, использующие последние версии, никак не затрагиваются. Эта проблема относится к уязвимым версиям, перечисленным и описанным ниже.

ESET обнаружила, что в нашем ядре есть проблема с проверкой отметки времени уже истекшего сертификата (срок действия которого истек 7 февраля 2020 г.). Этот метод дает сбой, и наши модули в более старых, устаревших версиях объявляются как ненадежные и поэтому не загружаются. Этот механизм гарантирует, что ненадежная библиотека не загружается.

В результате уязвимые версии не загружают модули (брандмауэр, HIPS, обновление, защита устройства, защита через Интернет и электронную почту) и не работают, поэтому защита не работает.

[B]Новейшие версии наших продуктов НЕ затрагиваются.[/B]

Симптомы:
Для версий старше 5.0.2271.x симптомы:
- Не удалось загрузить модули для семейства v5
- Графический интерфейс главного окна на английском языке и логотип показывает ESET Smart Security 5 вместо Endpoint Security

Для версий 6.5.x симптомы:
- Отчеты о продуктах антифишинга отключены
- Продукт сообщает, что он не активирован
- У расширенных настроек продукта отсутствуют функции

Если ими управляет наш ESET Remote Administrator или ESET Security Management Center, они обратятся к соответствующей параметрической группе и сообщат о предупреждении как не активированном, а модуль антифишинга - как неработающий.

В случаях, когда библиотеки загружены, SelfDefense защищает процесс EKRN и делает невозможным удаление.


[B]Решение
Важно![/B]

Если вы используете уязвимые версии и проблема не проявляется, не перезагружайте компьютер и немедленно выполните обновление.

На данный момент не существует автоматического решения, и ESET работает над подготовкой такого решения для большинства версий, когда это возможно.

[B]Мы рекомендуем обновить конечные точки v5 до последней версии v5.0.2271.x, которая, по возможности, не затронута. В противном случае мы рекомендуем удалить v5 и установить ESET Endpoint Antivirus / ESET Endpoint Security 7.2.

Для семейства v6.5 мы настоятельно рекомендуем обновить до последней версии ESET Endpoint Antivirus / ESET Endpoint Security 7.2 или ESET File Security для Windows / ESET Mail Security для Microsoft Exchange Server / ESET Mail Security для Domino / ESET Security для Sharepoint Server 7.1 ,
[/B]
Для ESET Security для Kerio 6.5 мы работаем над этим и исправим его как можно скорее.

Если вы используете Windows XP с EEA / EES 6.5.x, мы рекомендуем перейти на последнюю версию EEA / EES 5.0.2271.

Если эта проблема уже возникла на ваших компьютерах, и вы не можете удалить и / или обновить продукты ESET, обратитесь к местному клиенту ESET, который предоставит вам решение и проведет вас через весь процесс.


[B]Пострадавшие сборки:[/B]

ESET Endpoint Antivirus и ESET Endpoint Security для Windows, версии от 5.0.2126.0 до 5.0.2260.x
Последняя доступная сборка ESET Endpoint Antivirus / ESET Endpoint Security 5.0.2271.0 не затрагивается.


ESET Endpoint Antivirus, ESET Endpoint Security и ESET File Security для Windows, версии 6.5.x
Последняя версия ESET Endpoint Antivirus / ESET Endpoint Security 6.6.2089.x и 7.2.2055.x не затронута, равно как и последняя версия 7.1.12018.x ESET File Security для Windows.

[B]Если у вас есть какие-либо проблемы или вопросы - или вы не можете перейти на последние версии - не стесняйтесь обращаться в службу поддержки клиентов ESET в вашем регионе.[/B]

https://support.eset.com/en/alert7396-legacy-products-startup-issue

Хотя уязвимость BlueKeep (CVE-2019-0708) до настоящего времени не вызывала широкомасштабного хаоса, и мы рассмотрим причины, по которым в этом посте она все еще находится на очень ранней стадии жизненного цикла эксплуатации. Факт остается фактом, что многие системы все еще не исправлены, и все еще можно найти полностью исправленную версию эксплойта. Из-за этих факторов ESET создала бесплатную утилиту для проверки уязвимости системы.
https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetblu­ekeepchecker.exe

Существует множество серверов, работающих под управлением различных версий серверных операционных систем Microsoft Windows, которые напрямую подключены к Интернету, что практически не обеспечивает безопасности доступа к ним.

[B]Что такое RDP?[/B]

RDP, сокращение от «Протокол удаленного рабочего стола», позволяет одному компьютеру подключаться к другому компьютеру по сети, чтобы использовать его удаленно. В домене компьютеры с операционной системой Windows Client, такой как Windows XP или Windows 10, поставляются с предустановленным клиентским программным обеспечением RDP как часть операционной системы, которая позволяет им подключаться к другим компьютерам в сети, включая сервер организации ( с).

Сегодня, обычно к пользователям RDP относятся системные администраторы, выполняющие удаленное администрирование серверов, а также удаленные работники, которые могут подключаться к виртуализированным настольным компьютерам внутри домена своей организации.

За последние несколько лет в ESET наблюдают рост числа случаев, когда злоумышленники подключались к Интернету с помощью RDP удаленно к Windows Server через Интернет и входили в систему как администратор компьютера. После того, как злоумышленники войдут на сервер как администратор. Далее, они выполняют различные действия:

  [QUOTE] очистка лог-файлов, содержащих доказательства их присутствия в системе;
   отключение запланированных резервных копий и теневых копий;
   отключение защитного программного обеспечения или настройка исключений в нем (что разрешено администраторам);
   загрузка и установка различных программ на сервер;
   стирание или перезапись старых резервных копий, если они доступны;
   эксфильтрация данных с сервера;
   установка программ добычи монет для генерации криптовалюты, таких как Monero;
   установка Ransomware с целью вымогательства денег у организации, которые часто выплачиваются с использованием криптовалюты, такой как биткойны.[/QUOTE]


Уязвимость BlueKeep позволяет злоумышленникам запускать произвольный программный код на компьютерах своих жертв. Поскольку они могут использовать автоматизированные инструменты для атак, эта атака может распространяться автоматически по сетям без какого-либо вмешательства пользователей, как Win32 / Diskcoder.C ( ака NotPetya) и Conficker в прошлом.

В начале сентября Rapid7, разработчик инструмента пентестинга Metasploit, объявил о выпуске эксплойта BlueKeep. Несмотря на то, что в течение следующих нескольких месяцев не было зарегистрировано заметного увеличения активности BlueKeep, в последнее время ситуация изменилась. В начале ноября, как отмечают ZDNet и WIRED, стали доступны массовые сообщения об эксплуатации BlueKeep. По сообщениям, атаки были менее чем успешными: около 91% уязвимых компьютеров вылетали с ошибкой остановки (так называемая проверка ошибок или синий экран смерти), когда злоумышленник пытается использовать уязвимость BlueKeep. Однако на оставшихся 9% уязвимых компьютеров эти злоумышленники успешно установили программное обеспечение для криптомайнинга Monero.

[B]Защита от злоумышленников, атакующих RDP[/B]

Итак, учитывая все это, что вы можете сделать? Ну, во-первых, очевидно, чтобы прекратить подключение напрямую к вашим серверам через Интернет с помощью RDP. Поддержка Windows Server 2008 и Windows 7 заканчивается в январе 2020 года, наличие компьютеров под управлением этих компьютеров и их прямой доступ через RDP через Интернет представляет собой риск для вашего бизнеса, который вы уже должны планировать снизить.

Это не означает, что вам необходимо немедленно прекратить использование RDP, но вам необходимо предпринять дополнительные шаги, чтобы обезопасить его как можно скорее и как можно быстрее. С этой целью мы создали таблицу с десятью основными шагами, которые вы можете предпринять, чтобы начать защищать свои компьютеры от атак на основе RDP.

[QUOTE] 1. Запретить внешние подключения к локальным компьютерам через порт 3389 (TCP / UDP) на межсетевом экране периметра. * Блокирует доступ к RDP из Интернета.
   (* По умолчанию RDP работает на порте 3389. Если вы изменили этот порт на другое значение, то этот порт должен быть заблокирован.)

   2. Протестируйте и разверните исправления для уязвимости CVE-2019-0708 (BlueKeep) и включите аутентификацию на уровне сети (NLA) как можно быстрее. Установка исправления Microsoft и следование их предписывающим рекомендациям помогает обеспечить защиту устройств от уязвимости BlueKeep.

   3. Для всех учетных записей, в которые можно войти через RDP, требуются сложные пароли (обязательна длинная парольная фраза, содержащая более 15 символов). Защищает от взлома паролей и взлома учетных данных.

   4. Установите двухфакторную аутентификацию (2FA) и, как минимум, требуйте ее для всех учетных записей, в которые можно войти через RDP. Требуется второй уровень аутентификации, доступный сотрудникам только через мобильный телефон, токен или другой механизм для входа в компьютеры.

   5. Установите шлюз виртуальной частной сети (VPN), чтобы обеспечить безопасность во всех RDP-подключениях вне локальной сети. Предотвращает RDP-соединения между интернетом и вашей локальной сетью.

   6. Защитите программное обеспечение для защиты конечных точек паролем, используя надежный пароль, не связанный с учетными записями администраторов и служб.

   7. Включите блокировку эксплойтов в программном обеспечении безопасности конечных точек. Убедитесь, что эта функция включена.

   8. Изолируйте любой небезопасный компьютер, к которому требуется доступ из Интернета, используя RDP.

   9. Заменить небезопасные компьютеры. Если компьютер не может быть исправлен с помощью уязвимости BlueKeep, запланируйте его своевременную замену.

   10. Рассмотрите возможность блокировки geoIP на шлюзе VPN. Если сотрудники и поставщики находятся в одной и той же стране или в небольшом списке стран, рассмотрите возможность блокировки доступа из других стран, чтобы предотвратить соединения со стороны иностранных злоумышленников.[/QUOTE]


[B]Использование средства проверки уязвимости ESET BlueKeep (CVE-2019-0708)[/B]

ESET выпустила бесплатный инструмент BlueKeep (CVE-2019-0708), чтобы проверить, уязвим ли компьютер под управлением Windows. На момент публикации инструмент можно загрузить с:

   Program ESET BlueKeep (CVE-2019-0708) vulnerability checker
   Version 1.0.0.1
   Location https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetblu­ekeepchecker.exe
   SHA-1 hash C0E66EA2659D2EA172950572FDB5DE881D3882D8


При запуске программа сообщит, уязвима ли система для эксплуатации BlueKeep или нет. В случае уязвимости системы инструмент переместит пользователя на веб-страницу, чтобы загрузить соответствующий патч на веб-сайте Microsoft.

[IMG WIDTH=666 HEIGHT=333]https://chklst.ru/uploads/editor/zd/zh4m7q1881yd.jpg[/IMG]

подробнее здесь:

https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-internet/

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; [B].rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; .GTF; .Mark[/B]
[/QUOTE]

[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:[/SIZE]

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[B]для коммерческих продуктов:[/B]

ESET Endpoint Antivirus
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.1.2045.5 11-Apr-19 Full Support Limited Support TBA
6.6 24-Aug-17 6.6.2089.2 13-Nov-18 Full Support Limited Support TBA
6.5 14-Mar-17 6.5.2123.5 28-Nov-17 Full Support Limited Support TBA

ESET Endpoint Security
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.1.2045.5 11-Apr-19 Full Support Limited Support TBA
6.6 25-Feb-15 6.6.2089.2 13-Nov-18 Full Support Limited Support TBA
6.5 14-Mar-17 6.5.2123.5 28-Nov-17 Full Support Limited Support TBA

ESET File Security for Microsoft Windows Server
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.0.12018.0 29-Jan-19 Full Support Limited Support TBA
6.5 28-Feb-17 6.5.12018.0 28-Aug-18 Full Support Limited Support TBA
6.4 7-Sep-16 6.4.12004.0 30-Nov-16 Full Support Limited Support TBA

https://support.eset.com/kb3592/

[B]для домашних продуктов:[/B]

ESET Smart Security Premium
Version Release Date Latest Build Updated Status Next Status Expected EOL
12 23-Oct-18 12.2.23.0 18-Jul-19 Full Support Limited Support Dec 2022
11 24-Oct-17 11.2.63.0 11-Sep-18 Limited Support Basic Support Dec 2021
10 25-Oct-16 10.1.245.0 17-May-18 Basic Support End of Life Dec 2020

ESET NOD32 Antivirus
Version Release Date Latest Build Updated Status Next Status Expected EOL
12 23-Oct-18 12.2.23.0 18-Jul-19 Full Support Limited Support Dec 2022
11 24-Oct-17 11.2.63.0 11-Sep-18 Limited Support Basic Support Dec 2021
10 25-Oct-16 10.1.245.0 17-May-18 Basic Support End of Life Dec 2020

https://support.eset.com/kb3678/?segment=home

на текущий момент известные варианты[B] CrySis/Dharma[/B], которые не могут быть расшифрованы без выкупа:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day;[B] .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; .kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS[/B][/QUOTE]

[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:
[/SIZE]
1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[URL=http://dsrt.dyndns.org:8888/files/uvs_v414eng.zip][B]After you unpack the archive with the program uVS[/B][/URL], start the program start.exe (we call this program a starter)

Choose mode [B]"start under the current user"[/B] if the current user is an administrator in the system



Wait for the boot main window of the program.



You can create an image of the startup of the system in order to explore it on their own, or to transfer the image file to other researchers.

select the toolbar functions: [B]"file" - "save OS image with checking digital signature"[/B]

specify the file name and choose a directory to save it. We are waiting for completion of the process. (5-10 minutes, maybe faster)
--------


After completing this process, you can open an image file and continue with the way the system to use all the possibilities inherent in Uvs (signature, criteria, autoscript)

Upload a previously created image, you can also from the starter (start.exe) using the uVS mode "load OS image"

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

[QUOTE].cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; [B].ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day[/B][/QUOTE]

[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:[/SIZE]

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Сразу скажу, что спасти систему и документы не получилось, пользователь переустановил систему. А спасти было возможно.

Судя по источнику угрозы - это был Petya Ransomware,

[quote]DrWeb: Trojan.Ransom.369
ESET-NOD32: Win32/Diskcoder.Petya.A
Malwarebytes: Ransom.Petya
Kaspersky: Trojan-Ransom.Win32.Petr.a
[/quote]
https://www.virustotal.com/gui/file/26b4699a7b9eeb16e76305d843d4ab05e94d43f32014369­27e13b3ebafa90739/detection

после проверки на VM, оказалось что это классический Petya Ransomware (вариант Red) загруженный из бескрайних просторов сети. С этим вариантом распрощались еще [url="https://blog.malwarebytes.com/malwarebytes-news/2017/07/bye-bye-petya-decryptor-old-versions-released/"][b]два года назад[/b][/url], в связи с тем, что автором JanusSecretary (или авторским коллективом) были сданы мастер-ключи.

[img]https://chklst.ru/uploads/editor/yn/bo7904l61rui.jpg[/img]

На сегодня есть несколько надежных методов спасти систему и документы после подобной атаки.

во первых, это инструменты [b]hack-petya[/b] от [b]leo-stone[/b], которые применимы к Petya Red:
https://github.com/leo-stone/hack-petya/releases/tag/v2.0.1

во вторых, это загрузочный диск [b]antipetya_ultimate[/b] от [b]hasherezade[/b], который так же работает для случая Red
https://github.com/hasherezade/petya_key/releases/download/0.2/antipetya_ultimate.iso

в третьих, это инструменты [url="https://github.com/hasherezade/petya_key/releases/download/0.2/petya_key_v0.2_win32.zip"][b]petya_key[/b][/url] от [b]hasherezade[/b] для получения ключа по известному уникальному идентификатору (в данном случае был [code]e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN)[/code]), который содержится на экране ввода ключа, а так же может быть извлечен из из первых 64 секторов системного диска.

Чтобы извлечь нужные 64сектора диска используем загрузочный Winpe + инструментарий [url="https://dmde.ru/download.html"]DMDE[/url]
[quote]DMDE поддерживает файловые системы NTFS/NTFS5, FAT12/16, FAT32, exFAT, Ext2/3/4, HFS+/HFSX, ReFS (Beta) и работает в Windows 98/..XP/..7/..10, Linux, macOS, DOS (консольный интерфейс).
[/quote]
для [b]hack-petya[/b] можно собрать информацию с помощью утилиты от Фабиана Восара [url="http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip"][b]PETYAEXTRACTOR.EXE[/b][/url]:
---------
для получения ключа, я использовал второй и третий методы, простой и сложный.

[i]по второму методу:[/i] можно загрузиться с antipetya_ultimate и далее, следуя подсказкам ввести необходимые команды и параметры, и автоматически получить ключ для расшифровки MFT.
[img]https://chklst.ru/uploads/editor/74/3u14thi2l043.jpg[/img]

по третьему методу: можно использовать простой путь: получить скриншот экрана, содержащего идентификатор, преобразовать изображение в plain text, выделить блок с идентификатором, [url="http://foxtools.ru/Text"][b]преобразовать в нужную кодировку[/b][/url] ANSI Win 1251(если текст с online сервиса был получен, например, в UTF-8),
далее, блок сохраняем в файл ID.txt и используем для получения ключа в petya_key:

[code]petya_key.exe ID.txt >>key.txt[/code]

[quote]Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: Victim file: id.txt
[*] [+] Victim ID: e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN
---
[+] Your key : [b]GES27jh1Evud5HCs[/b][/quote]

однако, этот метод сработает, если распознание рисунка будет на 100% безошибочным. Ошибка с распознанием хотя бы одного символа приведет к ошибке с получением ключа. А визуально, найти ошибку будет непросто.

Надежнее, таки загрузиться с Winpe, скопировать с 0 по 63 секторы проблемного жесткого диска, сохранить в файл *.bin с последующим извлечением (можно использовать hex-редакторы: Winhex или xwforensics) необходимого идентификатора.

[img]https://chklst.ru/uploads/editor/b1/722308duqybd.jpg[/img]

Замечает, что после ввода правильного ключа идет процесс расшифровки.

[img]https://chklst.ru/uploads/editor/5o/1nq1c48mpt2v.jpg[/img]

Интересно, что по первому методу от[b] leo-stone[/b], ключ так же был вычислен (и успешно применен для расшифровки диска), но с некоторым отличием от метода [b]hasherezade[/b].
[code]
GxSx7xhxExux5xCx: hack-petya от leo-stone
GES27jh1Evud5HCs: petya_key от hasherezade
[/code]
остается добавить, что веб-генератор ключа, созданный leo-stone по адресам :
[b]petya-pay-no-ransom.herokuapp.com[/b] и [b]petya-pay-no-ransom-mirror1.herokuapp.com[/b]
спустя некоторое время прекратил работу, поэтому для получения ключа применяем им же созданную офлайновую утилиту hack-petya. И здесь есть некоторый нюанс. PetyaExtractor (F.Wosar) создавал файлики src.txt и nonce.txt в base64 кодировке (для веб-генератора ключа), а для офлайновой утилиты необходимо эти же данные предварительно [url="https://www.base64decode.org/"]декодировать из base64[/url].

[code]hack-petya.exe >>key.txt[/code]
результат:

Скрытый текст

G00000000  cb f0 82 97 9a 61 e2 1b  44 a2 db c8 92 96 04 82  |.....a..D.......| 00000010  00 06 80 0e 63 5a 7e 16  5e d6 5e cd 7a ce e8 ca  |....cZ~.^.^.z...| 00000020  ca f0 02 97 9a 27 e2 db  c4 a4 db c8 92 56 04 82  |.....'.......V..| 00000030  02 1c 80 4e 62 5a 7e 15  de 16 5e cb 7a cc eb ca  |...NbZ~...^.z...| 00000040  ca f0 02 97 9a 63 e2 5b  c4 a1 db c8 92 d6 04 82  |.....c.[........| 00000050  04 3e 80 ce 65 5a fe 14  5e 96 5e cd 7a cd e8 ca  |.>..eZ..^.^.z...| 00000060  c9 f0 82 98 9a 2d e2 5b  44 a2 db c8 92 96 04 82  |.....-.[D.......| 00000070  06 04 80 ce 64 5a fe 14  de 16 5e cb 7a cc eb ca  |....dZ....^.z...| 00000080  c9 f0 02 9e 9a 3f e2 9b  c4 a2 db c8 92 56 04 82  |.....?.......V..| 00000090  08 26 80 ce 62 5a fe 15  de 56 5e cb 7a cb eb ca  |.&..bZ...V^.z...| 000000a0  cc f0 02 98 9a 61 e2 1b  c4 a4 db c8 92 96 04 82  |.....a..........| 000000b0  0a 22 80 8e 64 5a fe 14  de 56 5e cb fa cc eb ca  |."..dZ...V^.....| 000000c0  cb f0 02 97 9a 61 e2 db  c4 a2 db c8 92 d6 04 82  |.....a..........| 000000d0  0c 1e 80 8e 62 5a fe 15  de 56 5e cb fa cd eb ca  |....bZ...V^.....| 000000e0  cc f0 02 9d 9a 43 e2 1b  c4 a1 db c8 92 96 04 82  |.....C..........| 000000f0  0e 38 80 ce 63 5a 7e 15  de 96 5e cb 7a cb eb ca  |.8..cZ~...^.z...| [61643 38786 24986 7138 41540 51419 38546 33284 1536 3712 23139 5758 54878 52574 52858 51944] Your key is:  [b]GxSx7xhxExux5xCx[/b]

-------------

-------------
(с), chklst.ru