Поймал вымогатель нового типа расширение .nsc4

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address:
Write the ID in the email subject

ID: 4279F969ADCEA060FEAE2BA391E110CD

Email 1: reopeningvip@gmail.com
Email 2: rdp21@onionmail.org

To ensure decryption you can send 1-2 files less than 1MB we will decrypt it for free.

We have backups of all your files. If you dont pay us we will sell all the files to your competitors
and place them in the dark web with your companys domain extension.

WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

Добавлено через 1 минуту
вот так переименовались файлы - 2TfqYzM85Q.nsc4 и tDn3BZG03J.nsc4

0

прошу помочь с типом вируса и шифровании чтобы понимать стоит побороться восстановить фалы илил же переустановить полностю систему

Миниатюры

 

0

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

0

спасибо. этим сейчас и займусь.

0

вот вроде сделал

Вложения

FRST.rar (16.5 Кб, 7 просмотров)

0

вот ещё один файл

Вложения

Addition.rar (20.3 Кб, 7 просмотров)

0

ESET Online Scanner что-то находил?

Заскриньте вкладку Карантин, что бы были видны пути и имена файлов

0

увы журнал проверки я не могу сохранить. просто тупо не хочет
сохранять

0

вот список что нашёл нод

Вложения

562.rar (7.7 Кб, 6 просмотров)

0

1) Ваша система была еще заражена файловым вирусом Neshta его в большом количестве и обезвреживал сканер ESET (все утилиты avz, nomoreransom - так же были заражены).

2) По заражению, скорее всего это PROTON. Расшифровка невозможна без приватного ключа.

Приведу лишь цитату с форума kasperskyclub:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Необходима чистка, или система под переустановку?

0

я полностью переустановлю систему конечно же. но сам дурак не сделал бекапы файлов. если я правильно понял, то всем файлам гаплык? то бишь даже можно и не стараться?

0

Сообщение от bre1970 то бишь даже можно и не стараться?

Можно забэкапить и их, и ждать: возможно будет где-то проведена совместная операция правоохранительных органов и станут известны ключи. Но ждать можно и очень долго.

По последним трендам многие злоумышленники вообще не удосуживаются делать утилиты расшифровки и трояны-шифровальщики становятся троянами-вандалами, которые просто выводят систему из строя, как это было с Аэрофлотом, японской пивоваренной компанией или сетью магазинов Винлаб.

0

в любом случае огромное спасибо за помощь и понимание. к сожалению для меня это жёсткий урок. за лень порой приходиться платить слишком дорого

0

Удачи. И не повторяйте ошибок - бэкапы "наше всё".

0

теперь стоит другая задача. как реально защититься от такой угрозы? я так понял что злоумышленники уже научились отключать антивирус и блокировать управление компьютером. и как показали собития даже самы продвинутый касперский был перед ними бессилен.

Добавлено через 3 минуты
просто была повторная атака даже после отключения зараженного сервера и отключения rdp.

0

Сообщение от bre1970 просто была повторная атака даже после отключения зараженного сервера и отключения rdp.

Об этом поподробнее

0

после отключения заражённого компа и отключения всех rdp и удаление со всех компов программы анидеск, вирус ( или кто там ещё через удалёнку мог пройти в нашу ) добрался уже до nas сервера и начал шифровать файл уже в нём. почти всё уничтожил около 5 терабайт файла разного рода документов. когда это я заметил всё конечно же вырубил и смог лишь спасти бухгалтерские документы которые просто чудом не успели попасть под раздачу. плюс ещё два сервера 1с отдельно стоящих тоже успел спасти отключив всё сразу. но перед этим я проверил антивирусом все компы и сервера и мне думалось что я уже всё подчистил и удалил. возможно ранее программа или злоумышленник оставил себе кое где открытые двери о которых я знать просто не мог и вошёл изначально. следы взлома потом были обнаружены во всех рабочих компах и кое где тоже началось шифрование файлов. думаю что программа или злоумышленник как то могли спрятаться в оперативной памяти и оттуда уже при помощи скриптов получили себе сново все права. вот как раз второй удар позволило мне понять как они или программа вирус мог ко мне влезть. слабым звеном оказался микротик. хотя в нём было куча разных фаерволов и защит от атак видать им получилось пробить защиту. скорее всего я не знаю современных скриптов для микротов которые могли бы защитить сеть от взлома. ну если враг уже в маршрутизаторе он видит буквально как устроена сетка, все вланы, все rdp и многое другое, и при помощи скиптов меняет правило администрировании. программа или злоумышленник во всех устройствах поменял днс адреса и открыл новые учётки с правами админа.

Добавлено через 43 минуты
я тут немного покошмарил ИИ своими проблемами, и вот что он ответил: "важно сразу обозначить — это не ошибка антивируса и не сбой в действиях с нашей стороны. это нормальный сценарий для современной целевой атаки, которую проводят не одиночки, а профессиональные группы, часто корпоративного уровня. сейчас объясню почему.

современные шифровальщики в классическом понимании не являются вирусами. поэтому антивирусы их и не видят. технически атака выглядит так:

злоумышленники получают доступ (фишинг, уязвимость, скомпрометированная учётка) и дальше работают исключительно штатными административными средствами системы — powershell, wmic, rdp, службы управления. для антивируса это выглядит как действия легитимного администратора, и блокировать такое он не имеет права.

дальше используется fileless-подход: вредонос не записывается на диск в виде файлов. команды выполняются в памяти, через скрипты и системные процессы. сканировать тут просто нечего.

после этого идёт этап разведки. атака может неделями изучать инфраструктуру, искать все диски, сетевые папки и, что критично, именно бекапы. для средств защиты это выглядит как обычный системный и сетевой трафик.

ключевой момент: в процессе атаки управление серверами было полностью перехвачено злоумышленниками. антивирусы были ими целенаправленно отключены, административные права утрачены, и любые попытки что-то изменить или остановить процесс стали технически невозможны. в такой ситуации не существует действий, которые можно «успеть предпринять» — контроль над системой уже потерян.

в момент самой атаки происходит массовое шифрование файлов с правами администратора штатными средствами системы. это не вирусная активность, а легальные операции, и по определению они не блокируются защитным ПО.

отсюда главный вывод: любая резервная копия, постоянно доступная из сети, уязвима. сетевые хранилища, nas, общие серверы и даже защищённые бекапы уничтожаются первыми. это не исключение, а стандартная практика современных атак.

поэтому защищаться нужно не антивирусом, а физической и логической изоляцией. и для этого нужен отдельный физический сервер исключительно под бекап, а не просто компьютер с дисками. вот конкретные причины:

мощность под нагрузку: ваши 10 ТБ — это живые, сложные базы. их нужно копировать быстро и без ошибок. сервер обеспечит необходимую производительность дисковой подсистемы и отказоустойчивость, которую обычный компьютер не даст. битый бекап — это отсутствие бекапа.

принцип air-gap (воздушный зазор): сервер не находится в сети постоянно. он включается по расписанию на строго ограниченное время (например, на 3 часа ночью), забирает данные по защищённому каналу и затем физически выключается из розетки. в выключенном состоянии его невозможно обнаружить в сети, заразить или зашифровать. это цифровой аналог сейфа.

выделенное назначение: на нём нет никакой рабочей нагрузки, пользователей, сервисов или постоянного доступа. установлена минимальная система только для приёма резервных копий. заражать там просто нечего, а поверхность для атаки сведена к нулю.

0

В принципе ИИ прав. Если есть административный доступ к системе - то антивирус будет выбит (будет вестись игра на опережение не в пользу антивируса), поэтому необходимо снизить вероятность поднятия привилегий втч за счет эксплуатации уязвимостей, а rdp изначально прятать за шлюз, VPN. Так что мои советы тут слишком обтекаемы:

Аудит безопасности
Физически отделенный бэкап
Закрытие уязвимостей
Ни один rdp не смотрит никаким портом наружу в интернет, тоже самое с микротиками.

0