conti Вирус-шифровальщик .GAZPROM

[Gorynych2000 0]

Здравствуйте.

 

Утром 12.06.2024 обнаружили проблемы с файлами на рабочих станциях и серверах. Файлы (word, excel, pdf, jpg, архивы и т.д.) заимели расширение ".GAZPROM". Во всех каталогах появилось два файла "GAZPROM_DECRYPT.hta" и "GAZPROM_DECRYPT.html". Пошифровало все компьютеры в сети, которые были включены. На серверах работала система архивации Windows Server, но есть подозрение, что архивы также зашифрованы - среда восстановления показывает только одну точку, и точка эта создана примерно в тоже время, что и файлы с расширением GAZPROM. Можно ли как-то дешифровать? Во вложении лог проверки сервера FRST из среды восстановления сервера и архив с несколькими шифрованными файлами и записки о выкупе. Серверы были защищены KES, запуск одной из рабочих станций показал, что Defender отключен. При включении защитника он обнаруживает Ransom:Win32/ContiAD!MTB  

files.7z

Изменено 18 июня пользователем kmscom
Удалил лог FRST , по просьбе автора

[safety 107]

Файл шифровальщика может иметь имя cryptor.exe/encryptor.exe

С расшифровкой по данному типу шифровальщика не поможем.

[Reader3 0]

Пожалуйста, подскажите, защитит ли обновленный Касперский от проникновения этого шифровальщика? Может быть, порекомендуете антивирус для выявления/предупреждения на компах, где проблема не выявлена, но потенциально может быть, т.к. была связь с зараженным компом?

[safety 107]

Если есть физический доступ к данным ПК можно загрузиться с загрузочного диска, например c KRD

и выполнить сканирование системного диска.

 

меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 13 июня пользователем safety

[Gorynych2000 0]

On 13.06.2024 at 17:28, safety said:

Если есть физический доступ к данным ПК можно загрузиться с загрузочного диска, например c KRD

и выполнить сканирование системного диска.

 

Из практики - сканирование сервера KRD дало нулевой результат. Даже то, что потенциально обязано было обнаружиться в дистрибутивах - найдено не было. При этом банальный windows defender обнаружил именно то, что должно было быть обнаружено. Платим за продукты KES уже больше 10 лет. Теперь встаёт большой вопрос, стоит ли вообще платить и защищать свою инфраструктуру продуктами Касперского.

 

Интересный нюанс, выявленный в данном конкретном случае  -вирус пропускает директории и, соответственно, их содержимое если в имени содержится "temp".

Изменено 18 июня пользователем safety

[safety 107]

1 hour ago, Gorynych2000 said:

еперь встаёт большой вопрос, стоит ли вообще платить и защищать свою инфраструктуру продуктами Касперского.

Антивирус не защитит инфраструктуру сети от проникновения. Антивирус не может защитить систему от запуска вредоносного кода, если злоумышленники после проникновения получают максимальные права, получают доступ к консоли антивируса и отключают защиту через легитимные задачи и политики.

Quote

Интересный нюанс, выявленный в данном конкретном случае  -вирус пропускает директории и, соответственно, их содержимое если в имени содержится "temp".

Если вы являетесь подписчиком на продукты ЛК, в таком случае о подобных обнаруженных нюансах лучше всего обращаться в техническую поддержку ЛК.

Quote

При этом банальный windows defender обнаружил именно то, что должно было быть обнаружено.

если был обнаружен сэмпл, который не детектируется продуктом, отправляем сэмпл в вирлаб. Как минимум, можно загрузить найденный сэмпл на VT для проверки его детектирования.

 

Тот же сэмпл от GAZPROM, скомпилированный от 02.06.2024 детктировался продуктом Касперского, как видим, как минимум 10 дней назад, а может и раньше, сразу в момент загрузки на VT

С учетом последнего анализа

Last Analysis:

2024-06-03 12:39:19 UTC

https://www.virustotal.com/gui/file/01e64cad13f437c78b76f36d1d042993a5a0ccb0e8cf715907a1a791819d5e20/detection

Изменено 18 июня пользователем safety