6 ответов в этой теме

[Ursus]

Здравствуйте!

Дано:

небольшая локальная сеть на 25 ПК, в процессе импортозамещения. Большая часть уже на Астра Линукс но еще осталось 4 ПК на Windows.

Сабж работает на Вин 10 Про х64 22H2, введен в домен.

В сети стоит "шпион" VipNet IDS NS.

Работаем себе, примусы починяем, никого не трогаем и вдруг прилетает алерт:

 [27.05.2024 14:02]

Добрый день.

 

"Подрядчик "Перспективный мониторинг" фиксирует на сенсорах ****** (*** IDS NS1000 (******)) и 1**** (*** NS100 (г. Т******)) от узла 10.0.80.48 защищаемой сети обращения к ресурсу etc-eu1.nanopool[.]org (54.38.55.91, Польша, ASN: 16276), silentlegion.duckdns[.]org (77.91.68.64, Украина, ASN: 203727), shadowlegion.duckdns[.]org (192.169.69.26, США, ASN: 27323), cryptolegion.duckdns[.]org (77.91.68.64, Украина, ASN: 203727), связанному с майнингом криптовалюты.

 

Также фиксирует на сенсоре 1****** (*** NS100 (********)) от узла 10.0.80.48 защищаемой сети передачу в JSON-файле параметров подключения к удаленному серверу по протоколу Stratum, предназначенному для майнинга криптовалюты.

 

Адреса получателей: 163.172.162.51:10100 (Нидерланды, ASN: 12876), 51.89.22.137:10100 (Великобритания, ASN: 16276).

 

Данная активность может свидетельствовать о заражении узла ВПО типа майнер.

 

Майнер может быть скрыто установлен на компьютеры пользователей, чтобы использовать их ресурсы для майнинга криптовалюты.

 

Просьба уточнить внешний адрес узла 10.0.80.48."

 

Инцедент заведен:  2024-05-25 12:40:27

 

После многочисленных попыток вылечить, было принято решение переустановить систему, что и был сделано:

<img src="https://ic.pics.livejournal.com/ironlamer/8720124/56010/56010_original.png"alt="Снимок экрана 2024-05-29 172757.png"/>

Все переносные носители, контактировавшие с этим ПК, были просканированы, по три раза,  на трех разных ПК, ничего не обнаружено.

Никакого "левого" ПО не установлено, только Офис и Адоб Акробат и Агент Доктор Веб 13.

И опять прилетает алерт!

 

"Фиксируем на сенсорах ***** (*** IDS NS1000 (****)) и 10.0.80.66 (**** NS100 (*****)) от узла 10.0.80.48 защищаемой сети обращения к ресурсу etc-eu1.nanopool[.]org (54.38.55.91, Польша, ASN: 16276), silentlegion.duckdns[.]org (77.91.68.64, Украина, ASN: 203727), shadowlegion.duckdns[.]org (192.169.69.26, США, ASN: 27323), cryptolegion.duckdns[.]org (77.91.68.64, Украина, ASN: 203727), связанному с майнингом криптовалюты.

 

Также фиксируем на сенсоре ***** (*** NS100 (г. ********)) от узла 10.0.80.48 защищаемой сети передачу в JSON-файле параметров подключения к удаленному серверу по протоколу Stratum, предназначенному для майнинга криптовалюты.

 

Адреса получателей: 163.172.162.51:10100 (Нидерланды, ASN: 12876), 51.89.22.137:10100 (Великобритания, ASN: 16276).

 

Данная активность может свидетельствовать о заражении узла ВПО типа майнер. 

 

Майнер может быть скрыто установлен на компьютеры пользователей, чтобы использовать их ресурсы для майнинга криптовалюты."

 

Снова всё просканировано, в том числе с помощью Лайв Диска, ничего не найдено.

Если это "ложняк", помогите реабилитироваться, а если нет, то  научите где мой продолб.

https://cloud.mail.ru/public/WD86/eEXe7bsK1

 

 

 

 

 

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Ursus]

Вот кошмарский закончил работу.

Странно, не дает прикреплять картинки хотя я скриншот в гиф сконвертировал (

Сообщение было изменено Ursus: 30 Май 2024 - 08:45

[Ivan Korolev]

А соберите отчеты sysinfo с трех других компов с виндой. В присланном отчете майнера нет.

Сообщение было изменено Ivan Korolev: 30 Май 2024 - 11:14

[Ursus]

https://cloud.mail.ru/public/DUyr/zNGnzFkY4

https://cloud.mail.ru/public/FZ91/1t2iphTA6

Вот этот здоровенный получился, но вы поймёте почему

https://cloud.mail.ru/public/DAvQ/phdoQho25

Есть еще 2 ПК, они обслуживают электронную очередь. Монитор стоит в шкафу, к нему ограниченный доступ, только я изредка подключаюсь для рабочих нужд, а терминал это железный ящик что выдает талоны, он работает в режиме киоска, ничего наружу не торчит. Там не стоит доктор Веб, я рассудил, что если есть инвазия, вы и по тем логам это поймёте.

[Ivan Korolev]

На этих тоже не видно майнера...

 

Соберите отчет сразу после очередного резолва домена пула и/или C&C.

 

По поводу ложняк или нет - ну ошибиться в наличии или отсутствии резолва домена сложно) указанные домены действительно применяются совместно, так что вероятно что где-то запуск был, но в приложенных логах абсолютно чистая система...

[Ursus]

Благодарю!