Второй раз на компьютер попадает шифровальщик

[Mr,Proxe]

Добрый вечер, помогите пожалуйста. 2 месяца назад на компьютер зашел шифровальщик, меня выкинуло из rdp (есть открытый порт и проброс не стандартного порта на порт rdp). Я во время успел заметить, выбил его, все почистил, короче обошлось без последствий. После этого, была смена паролей учётки, изменение порта внешнего, на микротике на котором сделан проброс порта был сдела fietoban, короче сделана добавление в блек лист всех ип,которые устанавливают более 4 соединений в течении 10 секунд. Сформировался adreess list из 300 ип ну и постепенно он наполнялся, даже иногда меня самого блокировало. Но прошло 2 месяца и меня снова взломали. И в этот раз комп полностью пошифровали. Пароль измененный был на столько сложный, что просто не реального его подобрать методом перебора, сответственно вопрос, как они смогли вскрыть систему? (просто в голове не укладывается как это возможно) И как мне вылечить зараженный комп? Спасибо большое

[Info_bot]

Уважаемый(ая) Mr,Proxe, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

(есть открытый порт и проброс не стандартного порта на порт rdp)

Совершенно не усложняет взлом, сканирование портов выполняется буквально доли секунды.

После этого, была смена паролей учётки, изменение порта внешнего, на микротике на котором сделан проброс порта был сдела fietoban, короче сделана добавление в блек лист всех ип,которые устанавливают более 4 соединений в течении 10 секунд. Сформировался adreess list из 300 ип ну и постепенно он наполнялся, даже иногда меня самого блокировало. Но прошло 2 месяца и меня снова взломали.

Тоже не оптимальный метод защиты. Смотрите в сторону Port Knocking.

И в этот раз комп полностью пошифровали. Пароль измененный был на столько сложный, что просто не реального его подобрать методом перебора, сответственно вопрос, как они смогли вскрыть систему? (просто в голове не укладывается как это возможно) И как мне вылечить зараженный комп?

Система может иметь уязвимости, которые радикально упрощают взлом. Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

И как мне вылечить зараженный комп?

Вылечить - это расшифровать? Это не реально, скорее всего, иначе бы эти ребята не занимались такого рода вымогательством. Надо определить тип шифровальщика, возможно, есть варианты. Прикрепите в архиве пару зашифрованных файлов + ещё эти:

C:\Decryption_INFO.txt
C:\Windows\system32\u1.bat
C:\Windows\system32\u2.bat

Надо провести работу над ошибками, чтобы не повторять их впредь. И по Mikrotik много вопросов, начиная с версии RouterOS, какая установлена?

[Mr,Proxe]

Совершенно не усложняет взлом, сканирование портов выполняется буквально доли секунды.


Тоже не оптимальный метод защиты. Смотрите в сторону Port Knocking.



Система может иметь уязвимости, которые радикально упрощают взлом. Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.


Вылечить - это расшифровать? Это не реально, скорее всего, иначе бы эти ребята не занимались такого рода вымогательством. Надо определить тип шифровальщика, возможно, есть варианты. Прикрепите в архиве пару зашифрованных файлов + ещё эти:
Надо провести работу над ошибками, чтобы не повторять их впредь. И по Mikrotik много вопросов, начиная с версии RouterOS, какая установлена?

Ссылка на events
https://cloud.mail.ru/public/v3cH/trQVyw7Rv

[Vvvyg]

Уведомление

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"

Похоже, вас всё ещё шифруют, файл SecurityCheck.txt уже зашифрован, но не переименован пока. И пароль на архив скиньте в личку.

С этой системой уже ничего не сделать, зашифровано всё, кроме системных файлов.

Система обновлялась?
Версия RouterOS?

[Mr,Proxe]

Очень хочется понять как он попал в систему? Чтоб закрыть причину. routeros 6.48.3

[Vvvyg]

Mimic Ransomware, расшифровки нет.
Системные журналы затёрты, как проникли, не узнать точно, но, скорее всего, как и в других подобных кейсах, по RDP. иПо обновлению системы так и не ответили.

Критический баг с возможностью повышения привилегий до «Суперадмина» ставит под угрозу 926 тыс. устройств MikroTik
Были в практике случаи, когда взламывали Mikrotik давно, когда было ПО с ещё более серьёзной уязвимостью, а использовали взломанное устройство через очень большой срок. Для понимания проблемы: Для чего хакерам Микротик и как я спрятал 100 тыс. RouterOS от ботнета. Проверьте, нет ли левых пользователей, чужих скриптов и заданий в планировщике. По хорошему, надо сбрасывать настройки, обновлять хотя бы до RouterOS 6.49.15.

Ну и использовать для сервера именно серверную систему Windows, а не 7-ку.

[Mr,Proxe]

Доброе утро, у меня нету доступов на router os из вне. а вот сама семерка не обновлялась лет 8, а может и больше. Могло это стать причиной? Реально ли есть такие уязвимости в rdp, Просто к вопросу как от этого преодостерчься в дальнейшем? Это рабочий комп, поэтому если поставить вин 10, то будет лучше?

[Vvvyg]

у меня нету доступов на router os из вне.

И по Winbox тоже? Через него и ломают.

а вот сама семерка не обновлялась лет 8, а может и больше. Могло это стать причиной? Реально ли есть такие уязвимости в rdp

CVE-2019-0708: Критическая уязвимость в службе удаленного рабочего стола Windows

Просто к вопросу как от этого преодостерчься в дальнейшем?

1. Доступ в локальную сеть организовать безопасно, 3 варианта: по VPN, по белым спискам диапазонов ip адресов (я так делал в своё время) или через Port Knocking, ссылка выше.
2. Систему держать обновлённой, использовать сложные пароли и несловарные имена пользователей, т. е. Бухгалтер, Natasha и т. п. - не пойдёт. Права администратора пользователям не давать, для всех обычных операций хватает пользовательских. Администратору доступ по RDP запретить, управление - через Anydesk, Ассистент и прочие программы УД.
3. Бэкапы делать регулярно и держать хотя бы не самые последние вне доступности из локальной сети - на отключённом внешем диске, на разделе NAS, недоступном с учётными данными пользователей ПК, разные вариаты могут быть.

Это рабочий комп, поэтому если поставить вин 10, то будет лучше?

Всяко. Но с учётом п. 2.

Ну и хороший антивирус, хотя и он не всегда помогает.

[Mr,Proxe]

Добрый день, спасибо большое. Все сделал согласно рекомендациям. Подскажите, а когда-нибудь, кто-нибудь переводил им деньги? Они давали алгоритм дешифрации?

[Sandor]

Они дают дешифровщик с персонально вашим ключом.
Но это если "повезёт". Нередки случаи, когда после оплаты выкупа вымогатели перестают выходить на связь. Либо могут прислать нерабочий дешифровщик.

[Vvvyg]

Ну и, переводя преступникам выкуп, Вы стимулируете их на новые преступления.