crypt console 3 Расшифровка файлов после Trojan-Ransom.MSIL.Crypmod.gen
друзья всем хорошего дня!
сегодня в мой др, случалась неприятность, обнаружил на серваке такую гадость, зашифровала все файлы
лог в тхт прикладываю
и архив с паролем virus с зараженными файлами прикладываю, исполняемого файла не нашел
по выкупу дешифровщика указана только почта и телеграмм и айди
Прошу помощи у сообщества
архив с вирусо meow.rar Addition.txt FRST.txt
readme.txt
Добрый день!
Прошу помощи пожалуйста, файлы были зашифрованы.
Ссылка на .ZIP архив зашифрованных файлов для примера.
https://cloud.mail.ru/public/aC41/uo4hcyqDw
Что делать ?
Спасибо!
ТУРВ.zip
Доброе время суток.
Зашифровал файлы в сетевой папке NAS.
Может можно что то сделать?. Заранее спасибо за помощь!
Зашифрованные файлы.rar
Ответы
2. после блокировки на маршрутизаторе ip адресом, с которых были направлены запросы на сервер MS Exchange
скрипт проверки на уязвимость Test-ProxyLogon.ps1 не показал новых атак на сервер
https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1
хотя и показывает что уязвимость обнаружена.
3. актуальный патч для «Exchange Server\V15\» установлен, но необходимо проверить логи установки, успешно было установлено актуальное кумулятивное обновление или нет.
Exchange Server 2013
В таблице этого раздела приведены номера сборок и общие даты выпуска всех версий Microsoft Exchange Server 2013.
Exchange Server 2013
Название продукта Дата выпуска Номер сборки
(краткий формат) Номер сборки
(длинный формат)
Exchange Server 2013 CU23 Jul21SU 13 июля 2021 г. 15.0.1497.23 15.00.1497.023
4. так же можно проверить наличие уязвимости используя nmap и спец скрипт,
Latest stable release self-installer: nmap-7.92-setup.exe
https://nmap.org/download.html
+ скрипт, добавить в каталог скриптов nse для nmap
https://github.com/microsoft/CSS-Exchange/releases/latest/download/http-vuln-cve2021-26855.nse
| Цитата |
|---|
| — @usage — nmap -p <port> —script http-vuln-cve2021-26855 <target> — — @output — PORT STATE SERVICE — 443/tcp open https — | http-vuln-cve2021-26855: — | VULNERABLE — | Exchange Server SSRF Vulnerability — | State: VULNERABLE — | IDs: CVE:CVE-2021-26855 — | — | Disclosure date: 2021-03-02 — | References: — | http://aka.ms/exchangevulns — — @args http-vuln-cve2021-26855.method The HTTP method for the request. The default method is «GET». |
5. вопрос с регулярным детектированием (через каждые три часа) антивирусом группы вредоносных скриптом был решен
проверка задач по образу uVS из нормального режима и из под winpe ничего не показала.
внешние атаки не наблюдались;
по логу procmon в момент срабатывания антивируса была обнаружена активность касперского с регулярным обновлением. наступил час Сократа.
админы приняли решение очистить карантин, куда антивирус регулярно добавлял файлы каждые три часа.
после очистки карантина детекты прекратились. что это было? вопрос к знатокам.
6. собственно следующая задача — добиться централизованного управления и контроля через веб-консоль по всем установленным антивирусных клиентам, и оперативная очистка возможно оставшихся неочищенными узлов.
7. можно проверить в работе данную утилиту на предмет аудита по журналам.
Новый инструмент Chainsaw помогает командам IR анализировать журналы событий Windows
https://github.com/countercept/chainsaw/releases/download/v1.0.2/chainsaw_x86_64-pc-windows-msvc.zip
по сути инцидента с распространением майнера в корпоративной сети есть отличный апрельский отчет от INCIBE_CERT:
Это исследование предназначено для профессионалов в области ИТ и кибербезопасности, исследователей и технических аналитиков, заинтересованных в анализе и исследованиях такого типа угроз, а также администраторов ИТ-сетей и системных администраторов с целью своевременного обновления своих компьютеров и защиты их от этой угрозы.
3. Исходный файл — многослойный обфусцированный и закодированный в base64 файл Powershell.
вектор входа (откуда) во время первого заражения неизвестен. (в нашем случае, понятно, что через уязвимость в MS Exchange Server 2013. После анализа было установлено, что это вредоносное ПО из семейства WannaMine , чья основная цель — криптомайнинг (использование пораженных машин для майнинга криптовалюты), который пытается распространиться по пораженной сети.
эта вредоносная программа состоит из нескольких компонент(артефактов) и имеет возможность извлекать учетные данные из уязвимых систем, используя Mimikatz, а также эксплуатарует уязвимость CVE-2017-01441, известной как EternalBlue, чтобы получить доступ к другим машинам в сети, где вы не можете сделать это с помощью учетных данных, полученных с помощью собственных механизмов удаленного выполнения в Windows. Атака частично безфайловая, чтобы обойти антивирус и программы сканирования, автоматический запуск в песочницах, так как он использует PowerShell, чтобы попытаться запустить все в объем памяти.
исходный файл:
int6.ps1 Дроппер, который осуществляет первоначальное заражение на каждой из пораженных машин.
«Funs» Этот артефакт представляет собой сценарий PowerShell, который содержит множество вспомогательных функций, и функциональность бокового движения.
«mimi»: Mimikatz Это двоичный файл Mimikatz, который выполняется путем отраженной инъекции, избегая таким образом записи на диск и используется для получения учетных данных системы.
«mon»: miner XMRig Это двоичный файл программного обеспечения XMRig, майнера криптовалюты с открытым исходным кодом. популярен в атаках криптоджекинга. Он работает в памяти с помощью PowerShell, поэтому что двоичный файл не записывается на диск.
WinRing0x64.sys Этот компонент является легальным и подписанным драйвером, используемым майнером XMRig, который позволяет настроить регистры MSR для оптимизации производительности майнинга. Известно, что этот драйвер содержит уязвимости, которые позволяют эскалацию привилегии.
mue.exe
Этот компонент записывается на диск во время заражения, и его задача — инжектировать полезную нагрузку в легальный процесс
«Sc»: Shellcode EternalBlue. Этот компонент был идентифицирован как шелл-код для эксплуатации уязвимости. EternalBlue, и его задача — заразить новую машину WannaMine во время бокового движения.
Данная угроза способна выполнять следующие действия:
* Обойти интерфейс сканирования на наличие вредоносных программ (AMSI).
* Поддерживать устойчивость в системе, создав подписку на события WMI.
* Извлекать токены NTLM.
*Сканировать на наличие уязвимости EternalBlue.
* Распространение на другие системы с помощью EternalBlue.
* Распространение на другие системы путем удаленного выполнения WMI с функцией Pass-the-Hash.
* Распространение на другие системы путем удаленного выполнения SMB с помощью функции Pass-the-Hash.
* Установить программное обеспечение для добычи криптовалюты с безфайловым исполнением (PowerShell).
* Установить программное обеспечение для майнинга криптовалют путем инъекции (Process Hollowing)
* Изменить настройки Windows, чтобы оптимизировать производительность майнинга.
* Изменить настройки Windows для сохранения.
* Оставить систему в уязвимом состоянии с целью локального повышения привилегий
Шифровальщики-вымогатели The Digest «Crypto-Ransomware»
Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
- Главная
- Введение
- Новости
- Список
- ID Ransomware
- Глоссарий
- Генеалогия
- О блоге
- Онлайн-заявление
- Free HELP!
- Руководство для пострадавшего
- Способы защиты
- Комплекс защиты
- Лучшие методы защиты
- Ransomware FAQ
- Как удалить Ransomware?
- Дешифровщики
- Anti-Ransomware
- Заказ расшифровки
- Помощь сайту
- Нужна помощь?
- Условия использования
- Контакт с автором
- Тайные загрузки
- 5 мифов о безопасности Windows
- Freeware и криптовалюта
- Отправить файл на анализ
- Условия оправдания и реабилитации
- Защита организации от Ramsomware
- Анализ затрат и потерь от RW
- Защита удаленной работы от RW
- Защита RDP от RW
- Защита бэкапов от RW
суббота, 24 октября 2020 г.
Pizhon
Pizhon Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
К зашифрованным файлам добавляется расширение: .pizhon-<random_ID<16>>
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на октябрь 2020 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: . README. txt
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также «Основные способы распространения криптовымогателей» на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файловый маркер «pizhon» (юникод) на -0x600 файла, там же, где его хранил Plauge17.
Plague17 / AMBA Family (семейство Plague17 / AMBA):
Plague17 Ransomware — март 2014 — 2016
AMBA Ransomware — июнь, сентябрь 2016
Crypto_Lab Ransomware — сентябрь 2017
Russenger Ransomware — февраль 2018
Dont_Worry Ransomware — март-апрель 2018
Plague17 Ransomware — май 2018-август 2019
Pizhon Ransomware — октябрь 2020
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ.
Новые комментарии проверяются. Всё, кроме спама, вскоре будет опубликовано. Для написания комментария вам нужен Google аккаунт.
ATTENTION.
Your new comment will be moderated. Please do not repeat. The spam will be removed. To post a comment here, you must have a Google account.
Про обнаружения Virus total
Введение
Знакомьтесь — единственный антивирус , который говорит, что у kaboom 2.0 есть вирус в файлах. Это VirusTotal . Правда ли это? Скажу сразу — есть антивирусы, которые не говорят, что есть вирус а где то нет. Но в данном случае лишь VT говорит об этом. Скажу лишь одну ошибку по мнению VirusTotal: это виноват вовсе не он, а так называемый Acronis.
Acronis
Это приложение работает как ИИ и вылезает проблема того, что он выявляет эту ошибку:
Trojan-Ransom.Win32.Crypmod.zfq
Проще, антивирус выявил этот файл как 
тип Вымогатель, блокирующий файл и шифрующий данные.
Многие сейчас скажут: Чего. Но если куча людей даже сейчас играют через kaboom и у них не было проблем. Это значит, что ИИ у Acronis Ошибся ещё как.
Итог: