Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Заразился сервер шифровщиком-вымогателем Hercul

Apotka
 Поделиться

Рекомендуемые сообщения

Apotka Новичок

Apotka

Опубликовано
Опубликовано (изменено)

Доброго времени суток, 08.04.24 в 00:45 по МСК (судя по дате создания файла записки вымогателей) *.exe файлы не пострадали, под удар попали различные БД 1С, сервис Забота, аудио видео файлы и MS office

Корневой файл заражения нам найти не удалось при ручном поиске, KVRT показал наличие 1 угрозы

В сервисе "крипто шериф" декприптора на наш случай не нашлось,

Следовал инструкции найденной на одном из порталов 

  Показать контент


Также изучил похожую тему на наш случай на этом форуме
 

  Показать контент


и выполнил сканирование утилитой Farbar Recovery Scan Tool. а также по инструкции по созданию обращения AutoLogger внутри архива report1.log и report2.log
зашифрованные файлы не содержат конфиденциальных данных, находятся в архиве Encripted с таким же паролем, внутри также записка вымогателя

KVRT.png

Addition.txtПолучение информации... Encripted.zipПолучение информации... FRST.txtПолучение информации... CollectionLog-2024.04.08-15.34.zipПолучение информации...

Изменено пользователем Apotka
Ссылка на комментарий
Поделиться на другие сайты
Apotka Новичок

Apotka

Опубликовано
  • Автор
Опубликовано (изменено)
  В 08.04.2024 в 09:43, safety сказал:

Добавьте логи из журнала обнаружения штатного антивируса.

Показать  

Спасибо что ознакомились с моим обращением, ничего к сожалению найти не удалось, у нас стоит eset в котором отсутствуют журналы
единственное он предложил создать слепок системы который представляет собой xml отчёт на 18мб
в штатном защитнике тоже ничего не нашёл, в просмотре событий в разделе журналов "Журналы приложений служб>Microsoft>Windows"
надеялся найти журналы Defender или Windows Defender но увы, могу предложить только выгрузки различных журналов связанных с RDP подключениями
и раздела Firewall

  Показать контент

 

 

Извиняюсь что не в одном сообщении, очень долго прогружался анализатор, вот итоговые замечания
Возможно это всё совсем не то конечно
 

  Показать контент

 

CallUxxProvider.zipПолучение информации...

Изменено пользователем Apotka
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Если вы создали ELC, тогда лучше его и загрузите, чтобы посмотреть все журналы, в частности журнал обнаружения угроз включен в общий журнал ELC. Если размер журнала будет большим, загрузите его на облачный диск, и дайте здесь ссылку на скачивание.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • Rome0
      Шифровальщик-вымогатель .kwx8
      Автор Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
    • Salieri
      Заразился вирусом
      Автор Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • Alexandr_
      заразился ELPACO-team
      Автор Alexandr_
      Добрый день, помогите победить шифровальщик от Elpaco-team, зашифровал документы и  базу 1С (
      Надеюсь на Вашу помощь
      Addition.txt Decrypt_ELPACO-team_info.txt filespdf.rar FRST.txt
    • KL FC Bot
      Как видеокамера может помочь вымогателям | Блог Касперского
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
×
×
  • Создать...