• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки 3441546223@qq.com

Статус
В этой теме нельзя размещать новые ответы.

niksar

Новый пользователь
Сообщения
9
Реакции
0
Доброго времени суток.

Виртуальная машина с ос windows, подключение к ней возможно только после установки VPN туннеля, никаких проброшенных портов. Подключались только с одного определенного ноутбука, в пятницу завершили работу с не завершенным сеансом на самой ос, в субботу в 15 отработал шифровальщик. Работа велась под учетной записью пользователя с ограниченными правами, шифровалось все до чего у пользователя был доступ. Все логи собраны под учетной записью администратора. Восстановление данных при помощи программ сканирующих диски на наличие удаленных файлов не привела к успеху. В архиве virus предположительные источники. На диске D множество 1с баз, они являются основной задачей восстановления.
Прошу помочь с расшифровкой и выявлением источника.
 

Вложения

  • Addition.txt
    34.4 KB · Просмотры: 1
  • crypted.rar
    15.9 KB · Просмотры: 1
  • FRST.txt
    59.3 KB · Просмотры: 1
Последнее редактирование модератором:
По шифровальщику: Для этого вымогателя пока нет способа дешифровки данных. Теневые копии использовались на виртуальной машине? Если да, то данные можно восстановить.

По источнику, нужно изучать логи. Вероятно всего первоисточником был ноутбук пользователя. У него был включен RDP? (но для выяснения нужно изучать системные логи виртуальной машины).

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Startup: C:\Users\July\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-23] () [File not signed]
    Startup: C:\Users\July\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost.exe [2020-05-23] (Microsoft Corporation -> Microsoft Corporation)
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Подключение к системе производилось только по RDP. Теневые копии не использовались.
Проанализировав состояние обнаружил найденные встроенным антивирусом Windows файлы и трояны см. архив Screenshot (внутри несколько скриншотов из журнала антивируса с указанием пути, названия файлов и уязвимости)
 

Вложения

  • Fixlog.txt
    946 байт · Просмотры: 1
  • Скриншоты.zip
    312.4 KB · Просмотры: 1
Последнее редактирование:
Да, сервер находится в локальной сети за маршрутизатором. Без установки VPN туннеля до маршрутизатора сервер не доступен. Туннель от пользователя до маршрутизатора не постоянный, устанавливается пользователем при необходимости работы.
Вопрос в устранении уязвимости зараженной Windows машины не стоит. Она точно будет сноситься после решения вопроса с данными.
 

Вложения

  • SecurityCheck.txt
    11.5 KB · Просмотры: 1
Значит нужно смотреть в сторону машины пользователя, очень уж ограничено шифровало. Аудит доступа к файлам настроен?
 
Ограниченно в каком плане? Выше писал у пользователя ограниченные права в системе, то есть там где требовалось повышение привилегий для доступа к файлам шифровальщик не отработал. Я выяснил в какое время и имя пк с которого производилось подключение. По поводу получения доступов злоумышленника к серверу это отдельный вопрос. Подключение произошло под учетной записью пользователя с первой попытки. Хочется понять намеренно это было сделано или заражен пк второй стороны. Могут ли быть автоматически запущенны исполняемые файлы шифровальщика при подключении посредству RDP, ведь по умолчанию прокидываются устройства, буфер и т.д. Пути file:\\tsclient\B\CRY\1cj.exe явно указывают что у кого то созданы директории отдельные для исполняемых файлов и как то осознанно названы.
Аудит не настраивался.
 
Имя ПК злоумышленника кстати NEFGECTYMRF
 
Ограниченно в каком плане?
Зашифровало только файлы к которым имеет доступ конкретный пользователь.

Могут ли быть автоматически запущенны исполняемые файлы шифровальщика при подключении посредству RDP
Нет их запускают или преступники (в случае взлома/подбора пароля на RDP) или пользователи в случае если получили письмо с вредоносом. В вашем случае скорее всего ручной доступ т.к. (если судить по созданным папкам). В любом из случае будет проводиться поиск доступных файлов в сети. Как получен доступ, вопрос открыт, особенно если ноутбук пользователя не под подозрением.
 
Вы хотите сказать это было целенаправленное действие? Кто вот прям руками по рдп запусти exe ?
 
Последнее редактирование:
Обычно так и есть. Если рассматривать атаку на RDP преступники получают доступ к взломанной машине и проводят разведку (вручную или при помощи софта) и запускают шифровальщик который шифрует все доступные файлы (включая "доступные на запись" по сети). Разобрались как им удалось войти через vpn?
 
Обычно так и есть. Если рассматривать атаку на RDP преступники получают доступ к взломанной машине и проводят разведку (вручную или при помощи софта) и запускают шифровальщик который шифрует все доступные файлы (включая "доступные на запись" по сети). Разобрались как им удалось войти через vpn?
Нет. Подключений через VPN нет. Есть подозрение на проброшенный порт до этой машины. Но там точно не 3389. Вопрос оставляю на социальную инженерию. На шлюзе нет информации, все как говорит пользователь в пт закончил в пн начался новый туннель. По виртуальным машинам я уверен, они изолированы друг от друга.
 
Последнее редактирование:
Или кто то нашел уязвимость в сетях Hyper-V
 
Последнее редактирование:
Что-то подобное?
В статье не описываются следы, возможно. Машина на win 7 была. Ну опять же она за шлюзом, там хоть хп, какбл. Хосты в первом квартале 20 обновлялись.
 
Последнее редактирование:
Понятно. Если будут новости, пишите. Я тему не закрываю
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу