Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.

 

Утром 12.06.2024 обнаружили проблемы с файлами на рабочих станциях и серверах. Файлы (word, excel, pdf, jpg, архивы и т.д.) заимели расширение ".GAZPROM". Во всех каталогах появилось два файла "GAZPROM_DECRYPT.hta" и "GAZPROM_DECRYPT.html". Пошифровало все компьютеры в сети, которые были включены. На серверах работала система архивации Windows Server, но есть подозрение, что архивы также зашифрованы - среда восстановления показывает только одну точку, и точка эта создана примерно в тоже время, что и файлы с расширением GAZPROM. Можно ли как-то дешифровать? Во вложении лог проверки сервера FRST из среды восстановления сервера и архив с несколькими шифрованными файлами и записки о выкупе. Серверы были защищены KES, запуск одной из рабочих станций показал, что Defender отключен. При включении защитника он обнаруживает Ransom:Win32/ContiAD!MTB  

files.7z

Изменено пользователем kmscom
Удалил лог FRST , по просьбе автора
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, подскажите, защитит ли обновленный Касперский от проникновения этого шифровальщика? Может быть, порекомендуете антивирус для выявления/предупреждения на компах, где проблема не выявлена, но потенциально может быть, т.к. была связь с зараженным компом?

Ссылка на сообщение
Поделиться на другие сайты

Если есть физический доступ к данным ПК можно загрузиться с загрузочного диска, например c KRD

и выполнить сканирование системного диска.

 

меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
On 13.06.2024 at 17:28, safety said:

Если есть физический доступ к данным ПК можно загрузиться с загрузочного диска, например c KRD

и выполнить сканирование системного диска.

 

Из практики - сканирование сервера KRD дало нулевой результат. Даже то, что потенциально обязано было обнаружиться в дистрибутивах - найдено не было. При этом банальный windows defender обнаружил именно то, что должно было быть обнаружено. Платим за продукты KES уже больше 10 лет. Теперь встаёт большой вопрос, стоит ли вообще платить и защищать свою инфраструктуру продуктами Касперского.

 

Интересный нюанс, выявленный в данном конкретном случае  -вирус пропускает директории и, соответственно, их содержимое если в имени содержится "temp".

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
1 hour ago, Gorynych2000 said:

еперь встаёт большой вопрос, стоит ли вообще платить и защищать свою инфраструктуру продуктами Касперского.

Антивирус не защитит инфраструктуру сети от проникновения. Антивирус не может защитить систему от запуска вредоносного кода, если злоумышленники после проникновения получают максимальные права, получают доступ к консоли антивируса и отключают защиту через легитимные задачи и политики.

Quote

Интересный нюанс, выявленный в данном конкретном случае  -вирус пропускает директории и, соответственно, их содержимое если в имени содержится "temp".

Если вы являетесь подписчиком на продукты ЛК, в таком случае о подобных обнаруженных нюансах лучше всего обращаться в техническую поддержку ЛК.

Quote

При этом банальный windows defender обнаружил именно то, что должно было быть обнаружено.

если был обнаружен сэмпл, который не детектируется продуктом, отправляем сэмпл в вирлаб. Как минимум, можно загрузить найденный сэмпл на VT для проверки его детектирования.

 

Тот же сэмпл от GAZPROM, скомпилированный от 02.06.2024 детктировался продуктом Касперского, как видим, как минимум 10 дней назад, а может и раньше, сразу в момент загрузки на VT

С учетом последнего анализа

Last Analysis:

2024-06-03 12:39:19 UTC

https://www.virustotal.com/gui/file/01e64cad13f437c78b76f36d1d042993a5a0ccb0e8cf715907a1a791819d5e20/detection

Изменено пользователем safety
  • Like (+1) 2
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • MWM
      От MWM
      Добрый день. Подхватили шифровальщик GAZPROM. Данные можно дешифровать? Примеры зашифрованных данных во вложении. Утилита RakhniDecryptor не помогла.
      FRST.txt Addition.txt pos.zip.zip
    • Роман Суслов
      От Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • Nikolay Ch.
      От Nikolay Ch.
      Здравствуйте.
      В организации зашифровались все файлы
      Предлагают написать на почту ILANMINT@TUTANOTA.COM nilimival@proton.me.
      Есть ли возможность расшифровать?
      readme.txt backupsession.xml.zip
    • Алексей Ккк
      От Алексей Ккк
      Добрый день!
      недавно файлы на одном из серверов зашифровались и стали с расширением .gazprom

      никто не сталкивался? чем можно расшифровать или какой программой восстановить поврежденные файлы?
    • dronwise
      От dronwise
      Обнаружили, что к нам на серверы пролезли злоумышленники и руками запустили шифровальщик, он в виде программы cryptor.exe
      Возможно ли расшифровать наши файлы? Логи и образцы зашифрованных файлов прилагаю.
      Надеюсь на вашу помощь.
       
       
      Addition.txt FRST.txt Encrypted files.zip
×
×
  • Создать...