- Специальный корреспондент
Прекрасное, раннее декабрьское утро, собираюсь на работу. Получаю сообщение от сотрудника отдела - сообщение о недоступности 1С, с бухгалтерии не имеют возможности подключиться к базам. Прошу проверить доступность сервера, на пинги отвечает, далее подключается через RDP и отправляет мне следующее фото:
Онемение конечностей, холодный пот, затруднённое дыхание, такую палитру ощущений я не испытывал крайне давно, когда меня грузовик притер к обочине на полном ходу. Командую об экстренном изгнании машины из сети - "выдернуть шнур, выдавить стекло" и ускоряюсь стремительно в серверную.
Загружаюсь с live cd для оценки ущерба - "шеф, усё пропало", зашифрованы базы, документы, журналы, логи, все за исключением .pdf и .xml(почему так - не понял).
И начался мучительный сбор информации, обзвон знатоков и бывалых, чтение статей, форумов. Из Интернетов, утилит по анализу сетей, брутфорсу и перехвату паролей, различных сценариев по повышеню прав в папке одного из пользователелей-члена группы "Пользователи удалённого рабочего стола", и анализа оставшихся журналов событий(а логи были тщательно удалены до времени, когда сервер был окончательно зашифрован также от имени этого члена) было установлено, что акт пенетрации произошёл через RDP(протокол удалённого рабочего стола). Пользователи в терминальные сессии ходили через VPN, права были обычные( дописывали нам 1С, обновляли, ОТВЕЧАЛИ ЗА РЕЗЕРВНОЕ КОПИРОВАНИЕ).
Спустя два дня бесполезных изысканий, было принято решение налаживать контакт с Пандой(злоумышленник из сообщения о расшифровке).
Следуя инструкции, отправил письмо с ID системы, в ответ получил предложение, от которого невозможно было отказаться - общаться в телеге. Сообщил ID, Панда, поздоровался и поинтересовался нет ли у меня ещё ID. К счастью пострадал только один сервер и Панда сразу же сообщил стоимость моего спокойствия и способ оплаты (цены называть не буду, все относительно, она оказалась вполне подъемной). Было решено платить, но терзали разум сомнения, что после оплаты Панда, словно Мишка олимпийский, покинет чат. На мои сомнения Панда запросил небольшой зашифрованный файл, в течение часа прислал действительно жизнеспособный .txt.
Наступило время торга, сбить цену я не пытался, пытался выторговать уверенность в расшифровке, оплата и расшифровка 50 на 50, 80 на 20 и тд. - безрезультатно, Панда был непоколебим. Но подкинул контакт "гаранта", а именно ещё одной жертвы.
Связался, собеседник, назову его Y, был немногословен и с опаской делился деталями, это и понятно, вдруг я тоже с чёрными кругами вокруг глаз и люблю бамбук, и это следующий уровень, в причастности к медвежатам я его тоже подозревал. Общались только в телеге, от прочих видов связи отказался. Рассказал, что оплатили, получили дешифратор, расшифровали файлы. Поделился своей версией дешифратора - не помог, для каждой машины он уникален.
Оплату произвели в BTC конечно же, и ожидание повисло, через несколько часов в чате появился .rar с дешифратором внутри и инструкция -"Run as administrator. Run on the infected server. There was a problem, come and tell me". Внутри .exe, запустил и в окошке побежал отсчёт файлов. И через часа 4 я увидел заветное сообщение:
Файлы были восстановлены, сервер конечно же не функционировал полноценно, да и страх все испортить сковывал. Подключил диск, и запустил копирование столь необходимых гигабайтов данных. В этот же вечер со мной связался ещё один счастливый обладатель BlakBit по имени T, новый знакомый Панды. Конечно я поделился с ним всем опытом, который получил сам за эти дни и ночи ("Опыт-сын ошибок трудных"). Рассказал, что его знакомые коллеги тоже уже пострадали.
Некоторые рекомендации кто уже стал жертвой данной хвори:
1. Мгновенное отключение от сети пораженной машины.
2. Не запускайте антивирусные проверки, антивирус удалит файл Cpriv.blackbit и тогда файлы не восстановить шифратором(хотя возможно у Панды и на этот счёт есть решение). Файлы данные лежат в корне каждого раздела и во всех домашних папках пользователя, с которого инициировали атаку, также в syswow64, recent и programdata.
3. Передачу файлов в чат ведите на life cd системе без накопителя, и подключённой не к сети Интернет не через локальную корп сеть ( от своего компьютера отключил диски, записал на флешку Ubuntu, запустился с неё, на смартфоне раздал мобильный Интернет для связи)
4. После расшифровки не входите по другой учётной записью, только под той, из которой было дешифрование, файлы зашифруются повторно и придётся снова просить о помощи Панду.
5. Не перезагружайте пораженную машину причина в п.4.
6. Если остались нерасшифроаанные файлы с расширением .blackbit не запускайте их, файлы зашифруются повторно.
Рекомендации как избежать знакомства с Пандой:
1. !!НЕ ВЫСТАВЛЯЙТЕ RDP В СЕТЬ!! Даже если у вас нестандартный порт, даже если сложные пароли, это всего-лишь вопрос времени. Мой выставлен небыл, но подрядчик свою инфраструктуру сделал иначе, тот самый что дописывал нам 1С, обновлял, ОТВЕЧАЛ ЗА РЕЗЕРВНОЕ КОПИРОВАНИЕ, член группы. Панда, ворвавшись в заросли его бамбука добрался и до нас (был не закрыт сеанс RDP, и пароль, видать был тоже сохранен в подключении).
2. Не надейтесь на антивирус, он (любой) отключается пользователем после повышения прав.
Недавно писал Y, тот, который выступал для меня гарантом от имени Панды и был немногословен. В их городе на букву N пандемия .blackbit, многие его знакомые коллеги пострадали.
КРАЙНЕ ВАЖНО! Я НЕ ПРИЗЫВАЮ СОТРУДНИЧАТЬ И ПЛАТИТЬ ЗЛОУМЫШЛЕННИКАМ! Но у меня небыло другого выбора, делюсь как это было со мной, чтоб это не коснулось Вас. Срочно открываем port forwarding и убираем RDP.
Всего хорошего.
Онемение конечностей, холодный пот, затруднённое дыхание, такую палитру ощущений я не испытывал крайне давно, когда меня грузовик притер к обочине на полном ходу. Командую об экстренном изгнании машины из сети - "выдернуть шнур, выдавить стекло" и ускоряюсь стремительно в серверную.
Загружаюсь с live cd для оценки ущерба - "шеф, усё пропало", зашифрованы базы, документы, журналы, логи, все за исключением .pdf и .xml(почему так - не понял).
И начался мучительный сбор информации, обзвон знатоков и бывалых, чтение статей, форумов. Из Интернетов, утилит по анализу сетей, брутфорсу и перехвату паролей, различных сценариев по повышеню прав в папке одного из пользователелей-члена группы "Пользователи удалённого рабочего стола", и анализа оставшихся журналов событий(а логи были тщательно удалены до времени, когда сервер был окончательно зашифрован также от имени этого члена) было установлено, что акт пенетрации произошёл через RDP(протокол удалённого рабочего стола). Пользователи в терминальные сессии ходили через VPN, права были обычные( дописывали нам 1С, обновляли, ОТВЕЧАЛИ ЗА РЕЗЕРВНОЕ КОПИРОВАНИЕ).
Спустя два дня бесполезных изысканий, было принято решение налаживать контакт с Пандой(злоумышленник из сообщения о расшифровке).
Следуя инструкции, отправил письмо с ID системы, в ответ получил предложение, от которого невозможно было отказаться - общаться в телеге. Сообщил ID, Панда, поздоровался и поинтересовался нет ли у меня ещё ID. К счастью пострадал только один сервер и Панда сразу же сообщил стоимость моего спокойствия и способ оплаты (цены называть не буду, все относительно, она оказалась вполне подъемной). Было решено платить, но терзали разум сомнения, что после оплаты Панда, словно Мишка олимпийский, покинет чат. На мои сомнения Панда запросил небольшой зашифрованный файл, в течение часа прислал действительно жизнеспособный .txt.
Наступило время торга, сбить цену я не пытался, пытался выторговать уверенность в расшифровке, оплата и расшифровка 50 на 50, 80 на 20 и тд. - безрезультатно, Панда был непоколебим. Но подкинул контакт "гаранта", а именно ещё одной жертвы.
Связался, собеседник, назову его Y, был немногословен и с опаской делился деталями, это и понятно, вдруг я тоже с чёрными кругами вокруг глаз и люблю бамбук, и это следующий уровень, в причастности к медвежатам я его тоже подозревал. Общались только в телеге, от прочих видов связи отказался. Рассказал, что оплатили, получили дешифратор, расшифровали файлы. Поделился своей версией дешифратора - не помог, для каждой машины он уникален.
Оплату произвели в BTC конечно же, и ожидание повисло, через несколько часов в чате появился .rar с дешифратором внутри и инструкция -"Run as administrator. Run on the infected server. There was a problem, come and tell me". Внутри .exe, запустил и в окошке побежал отсчёт файлов. И через часа 4 я увидел заветное сообщение:
Файлы были восстановлены, сервер конечно же не функционировал полноценно, да и страх все испортить сковывал. Подключил диск, и запустил копирование столь необходимых гигабайтов данных. В этот же вечер со мной связался ещё один счастливый обладатель BlakBit по имени T, новый знакомый Панды. Конечно я поделился с ним всем опытом, который получил сам за эти дни и ночи ("Опыт-сын ошибок трудных"). Рассказал, что его знакомые коллеги тоже уже пострадали.
Некоторые рекомендации кто уже стал жертвой данной хвори:
1. Мгновенное отключение от сети пораженной машины.
2. Не запускайте антивирусные проверки, антивирус удалит файл Cpriv.blackbit и тогда файлы не восстановить шифратором(хотя возможно у Панды и на этот счёт есть решение). Файлы данные лежат в корне каждого раздела и во всех домашних папках пользователя, с которого инициировали атаку, также в syswow64, recent и programdata.
3. Передачу файлов в чат ведите на life cd системе без накопителя, и подключённой не к сети Интернет не через локальную корп сеть ( от своего компьютера отключил диски, записал на флешку Ubuntu, запустился с неё, на смартфоне раздал мобильный Интернет для связи)
4. После расшифровки не входите по другой учётной записью, только под той, из которой было дешифрование, файлы зашифруются повторно и придётся снова просить о помощи Панду.
5. Не перезагружайте пораженную машину причина в п.4.
6. Если остались нерасшифроаанные файлы с расширением .blackbit не запускайте их, файлы зашифруются повторно.
Рекомендации как избежать знакомства с Пандой:
1. !!НЕ ВЫСТАВЛЯЙТЕ RDP В СЕТЬ!! Даже если у вас нестандартный порт, даже если сложные пароли, это всего-лишь вопрос времени. Мой выставлен небыл, но подрядчик свою инфраструктуру сделал иначе, тот самый что дописывал нам 1С, обновлял, ОТВЕЧАЛ ЗА РЕЗЕРВНОЕ КОПИРОВАНИЕ, член группы. Панда, ворвавшись в заросли его бамбука добрался и до нас (был не закрыт сеанс RDP, и пароль, видать был тоже сохранен в подключении).
2. Не надейтесь на антивирус, он (любой) отключается пользователем после повышения прав.
Недавно писал Y, тот, который выступал для меня гарантом от имени Панды и был немногословен. В их городе на букву N пандемия .blackbit, многие его знакомые коллеги пострадали.
КРАЙНЕ ВАЖНО! Я НЕ ПРИЗЫВАЮ СОТРУДНИЧАТЬ И ПЛАТИТЬ ЗЛОУМЫШЛЕННИКАМ! Но у меня небыло другого выбора, делюсь как это было со мной, чтоб это не коснулось Вас. Срочно открываем port forwarding и убираем RDP.
Всего хорошего.
