Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

ключевые инфраструктурные объекты (АЭС, ЭС, водоочистительные сооружения);

нефтегазовый сектор (трубопроводы, НПЗ);

оборонные предприятия;

некоммерческие организации;

государственный сектор.

Если ваша компания относится к этому списку, вы можете попросить бесплатную дешифровку.

12. Привет!

Во вложенном документе интересная информация.

Спасибо.

13. Этот документ создан в предыдущей версии Microsoft Office Word. Чтобы просмотреть или отредактировать этот документ, нажмите на кнопку «Разрешить редактирование» на верхней панели, затем нажмите «Разрешить содержимое».

14. Вниманию специалистов по IR: RagnarLocker использует handybackup.net для кражи. Сохранение в системе: Cobalt/ScreenConnect, горизонтальное перемещение: Cobalt/RDP, разведка: Advanced IP Scanner, сбор данных: WinRar. Крадут большие объемы данных (терабайты). Сообщения о выкупе со ссылками на скриншоты.

Только что заметили, что они используют #PaExec («a», не «s») для удаленной установки служб Cobalt.

Похоже, что для первоначального доступа используется ProxyLogon.

15. DoppelPaymer используют MediaFire.com для кражи через веб-браузер. Прочие TTP: Cobalt Strike, Rubeus, RealVNC, Putty, RDP, PowerShell BitsAdmin и Hyper Visors для получения доступа, развертывание виртуальных машин для запуска программы-вымогателя.

16. Убийственная цепочка программы-вымогателя Clop в одном твите: фишинговое письмо — > макрос Office — > net user /domain — > FlawedAmmyy RAT — > Cobalt Strike — > SBM — > BEACON — > BADPIPE — > Mimikatz — > обход UAC — > админ домена — > SC менеджер — > запуск Clop — > требование выкупа. Еще одна программа-вымогатель, использующая для атак коммерческие инструменты.

17. #BlackMatter…

Свойства: монтирование томов, зашифровка файлов Microsoft Exchange, зашифровка файлов совместного доступа, прекращение процессов, остановка и прекращение служб.

Что случилось?

Ваша сеть зашифрована и в данный момент недоступна.

Нас интересуют только деньги, после оплаты мы дадим вам дешифратор для всей сети, и вы восстановите данные.

Каковы гарантии?

Мы не преследуем политических целей, и нам не нужно ничего, кроме денег. В случае оплаты мы дадим вам программу для дешифрования и удалим ваши данные. Если мы этого не сделаем, мы больше никогда не получим денег, поэтому мы держим слово.

Как с нами связаться?

1. Скачайте и установите браузер Tor (…)

2. Откройте ссылку…

18. Кэрриэ Б. Криминалистический анализ файловых систем. — СПб.: Питер, 2007.