• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки [email protected]

Статус
В этой теме нельзя размещать новые ответы.

niksar

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Доброго времени суток.

Виртуальная машина с ос windows, подключение к ней возможно только после установки VPN туннеля, никаких проброшенных портов. Подключались только с одного определенного ноутбука, в пятницу завершили работу с не завершенным сеансом на самой ос, в субботу в 15 отработал шифровальщик. Работа велась под учетной записью пользователя с ограниченными правами, шифровалось все до чего у пользователя был доступ. Все логи собраны под учетной записью администратора. Восстановление данных при помощи программ сканирующих диски на наличие удаленных файлов не привела к успеху. В архиве virus предположительные источники. На диске D множество 1с баз, они являются основной задачей восстановления.
Прошу помочь с расшифровкой и выявлением источника.
 

Вложения

  • Addition.txt
    34.4 KB · Просмотры: 1
  • crypted.rar
    15.9 KB · Просмотры: 1
  • FRST.txt
    59.3 KB · Просмотры: 1
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
По шифровальщику: Для этого вымогателя пока нет способа дешифровки данных. Теневые копии использовались на виртуальной машине? Если да, то данные можно восстановить.

По источнику, нужно изучать логи. Вероятно всего первоисточником был ноутбук пользователя. У него был включен RDP? (но для выяснения нужно изучать системные логи виртуальной машины).

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Startup: C:\Users\July\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-23] () [File not signed]
    Startup: C:\Users\July\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost.exe [2020-05-23] (Microsoft Corporation -> Microsoft Corporation)
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

niksar

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Подключение к системе производилось только по RDP. Теневые копии не использовались.
Проанализировав состояние обнаружил найденные встроенным антивирусом Windows файлы и трояны см. архив Screenshot (внутри несколько скриншотов из журнала антивируса с указанием пути, названия файлов и уязвимости)
 

Вложения

  • Fixlog.txt
    946 байт · Просмотры: 1
  • Скриншоты.zip
    312.4 KB · Просмотры: 1
Последнее редактирование:

niksar

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Да, сервер находится в локальной сети за маршрутизатором. Без установки VPN туннеля до маршрутизатора сервер не доступен. Туннель от пользователя до маршрутизатора не постоянный, устанавливается пользователем при необходимости работы.
Вопрос в устранении уязвимости зараженной Windows машины не стоит. Она точно будет сноситься после решения вопроса с данными.
 

Вложения

  • SecurityCheck.txt
    11.5 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Значит нужно смотреть в сторону машины пользователя, очень уж ограничено шифровало. Аудит доступа к файлам настроен?
 

niksar

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Ограниченно в каком плане? Выше писал у пользователя ограниченные права в системе, то есть там где требовалось повышение привилегий для доступа к файлам шифровальщик не отработал. Я выяснил в какое время и имя пк с которого производилось подключение. По поводу получения доступов злоумышленника к серверу это отдельный вопрос. Подключение произошло под учетной записью пользователя с первой попытки. Хочется понять намеренно это было сделано или заражен пк второй стороны. Могут ли быть автоматически запущенны исполняемые файлы шифровальщика при подключении посредству RDP, ведь по умолчанию прокидываются устройства, буфер и т.д. Пути file:\\tsclient\B\CRY\1cj.exe явно указывают что у кого то созданы директории отдельные для исполняемых файлов и как то осознанно названы.
Аудит не настраивался.
 

niksar

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Имя ПК злоумышленника кстати NEFGECTYMRF
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Ограниченно в каком плане?
Зашифровало только файлы к которым имеет доступ конкретный пользователь.

Могут ли быть автоматически запущенны исполняемые файлы шифровальщика при подключении посредству RDP
Нет их запускают или преступники (в случае взлома/подбора пароля на RDP) или пользователи в случае если получили письмо с вредоносом. В вашем случае скорее всего ручной доступ т.к. (если судить по созданным папкам). В любом из случае будет проводиться поиск доступных файлов в сети. Как получен доступ, вопрос открыт, особенно если ноутбук пользователя не под подозрением.
 

niksar

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Вы хотите сказать это было целенаправленное действие? Кто вот прям руками по рдп запусти exe ?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Обычно так и есть. Если рассматривать атаку на RDP преступники получают доступ к взломанной машине и проводят разведку (вручную или при помощи софта) и запускают шифровальщик который шифрует все доступные файлы (включая "доступные на запись" по сети). Разобрались как им удалось войти через vpn?
 

niksar

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Обычно так и есть. Если рассматривать атаку на RDP преступники получают доступ к взломанной машине и проводят разведку (вручную или при помощи софта) и запускают шифровальщик который шифрует все доступные файлы (включая "доступные на запись" по сети). Разобрались как им удалось войти через vpn?
Нет. Подключений через VPN нет. Есть подозрение на проброшенный порт до этой машины. Но там точно не 3389. Вопрос оставляю на социальную инженерию. На шлюзе нет информации, все как говорит пользователь в пт закончил в пн начался новый туннель. По виртуальным машинам я уверен, они изолированы друг от друга.
 
Последнее редактирование:

niksar

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Или кто то нашел уязвимость в сетях Hyper-V
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203

niksar

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Что-то подобное?
В статье не описываются следы, возможно. Машина на win 7 была. Ну опять же она за шлюзом, там хоть хп, какбл. Хосты в первом квартале 20 обновлялись.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Понятно. Если будут новости, пишите. Я тему не закрываю
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу