Перейти к содержанию

Вирус-шифровальщик .GAZPROM


Рекомендуемые сообщения

Здравствуйте.

 

Утром 12.06.2024 обнаружили проблемы с файлами на рабочих станциях и серверах. Файлы (word, excel, pdf, jpg, архивы и т.д.) заимели расширение ".GAZPROM". Во всех каталогах появилось два файла "GAZPROM_DECRYPT.hta" и "GAZPROM_DECRYPT.html". Пошифровало все компьютеры в сети, которые были включены. На серверах работала система архивации Windows Server, но есть подозрение, что архивы также зашифрованы - среда восстановления показывает только одну точку, и точка эта создана примерно в тоже время, что и файлы с расширением GAZPROM. Можно ли как-то дешифровать? Во вложении лог проверки сервера FRST из среды восстановления сервера и архив с несколькими шифрованными файлами и записки о выкупе. Серверы были защищены KES, запуск одной из рабочих станций показал, что Defender отключен. При включении защитника он обнаруживает Ransom:Win32/ContiAD!MTB  

files.7z

Изменено пользователем kmscom
Удалил лог FRST , по просьбе автора
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, подскажите, защитит ли обновленный Касперский от проникновения этого шифровальщика? Может быть, порекомендуете антивирус для выявления/предупреждения на компах, где проблема не выявлена, но потенциально может быть, т.к. была связь с зараженным компом?

Ссылка на комментарий
Поделиться на другие сайты

Если есть физический доступ к данным ПК можно загрузиться с загрузочного диска, например c KRD

и выполнить сканирование системного диска.

 

меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

On 13.06.2024 at 17:28, safety said:

Если есть физический доступ к данным ПК можно загрузиться с загрузочного диска, например c KRD

и выполнить сканирование системного диска.

 

Из практики - сканирование сервера KRD дало нулевой результат. Даже то, что потенциально обязано было обнаружиться в дистрибутивах - найдено не было. При этом банальный windows defender обнаружил именно то, что должно было быть обнаружено. Платим за продукты KES уже больше 10 лет. Теперь встаёт большой вопрос, стоит ли вообще платить и защищать свою инфраструктуру продуктами Касперского.

 

Интересный нюанс, выявленный в данном конкретном случае  -вирус пропускает директории и, соответственно, их содержимое если в имени содержится "temp".

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 hour ago, Gorynych2000 said:

еперь встаёт большой вопрос, стоит ли вообще платить и защищать свою инфраструктуру продуктами Касперского.

Антивирус не защитит инфраструктуру сети от проникновения. Антивирус не может защитить систему от запуска вредоносного кода, если злоумышленники после проникновения получают максимальные права, получают доступ к консоли антивируса и отключают защиту через легитимные задачи и политики.

Quote

Интересный нюанс, выявленный в данном конкретном случае  -вирус пропускает директории и, соответственно, их содержимое если в имени содержится "temp".

Если вы являетесь подписчиком на продукты ЛК, в таком случае о подобных обнаруженных нюансах лучше всего обращаться в техническую поддержку ЛК.

Quote

При этом банальный windows defender обнаружил именно то, что должно было быть обнаружено.

если был обнаружен сэмпл, который не детектируется продуктом, отправляем сэмпл в вирлаб. Как минимум, можно загрузить найденный сэмпл на VT для проверки его детектирования.

 

Тот же сэмпл от GAZPROM, скомпилированный от 02.06.2024 детктировался продуктом Касперского, как видим, как минимум 10 дней назад, а может и раньше, сразу в момент загрузки на VT

С учетом последнего анализа

Last Analysis:

2024-06-03 12:39:19 UTC

https://www.virustotal.com/gui/file/01e64cad13f437c78b76f36d1d042993a5a0ccb0e8cf715907a1a791819d5e20/detection

Изменено пользователем safety
  • Like (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • AlexYarm
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • Aleksandr Korolev
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • escadron
      Автор escadron
      В далеком 2015 году скачал какую-то фигню на комп, потерял практически все фотографии и видео. Получил от матери по шапке и благополучно об этом забыл.
      Сейчас же внезапно захотелось восстановить файлы, если, конечно, это возможно.
      Из-за ограничений формата прикрепляемых файлов не могу предоставить пример зашифрованных данных.
      Файл с почтой/другой информацией (README**.txt) либо был утерян, либо же вообще не появлялся на компьютере.
      Надеюсь, знатоки смогут помочь.
×
×
  • Создать...