Перейти к содержанию

Вирус-шифровальщик .GAZPROM


Рекомендуемые сообщения

Здравствуйте.

 

Утром 12.06.2024 обнаружили проблемы с файлами на рабочих станциях и серверах. Файлы (word, excel, pdf, jpg, архивы и т.д.) заимели расширение ".GAZPROM". Во всех каталогах появилось два файла "GAZPROM_DECRYPT.hta" и "GAZPROM_DECRYPT.html". Пошифровало все компьютеры в сети, которые были включены. На серверах работала система архивации Windows Server, но есть подозрение, что архивы также зашифрованы - среда восстановления показывает только одну точку, и точка эта создана примерно в тоже время, что и файлы с расширением GAZPROM. Можно ли как-то дешифровать? Во вложении лог проверки сервера FRST из среды восстановления сервера и архив с несколькими шифрованными файлами и записки о выкупе. Серверы были защищены KES, запуск одной из рабочих станций показал, что Defender отключен. При включении защитника он обнаруживает Ransom:Win32/ContiAD!MTB  

files.7z

Изменено пользователем kmscom
Удалил лог FRST , по просьбе автора
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, подскажите, защитит ли обновленный Касперский от проникновения этого шифровальщика? Может быть, порекомендуете антивирус для выявления/предупреждения на компах, где проблема не выявлена, но потенциально может быть, т.к. была связь с зараженным компом?

Ссылка на комментарий
Поделиться на другие сайты

Если есть физический доступ к данным ПК можно загрузиться с загрузочного диска, например c KRD

и выполнить сканирование системного диска.

 

меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

On 13.06.2024 at 17:28, safety said:

Если есть физический доступ к данным ПК можно загрузиться с загрузочного диска, например c KRD

и выполнить сканирование системного диска.

 

Из практики - сканирование сервера KRD дало нулевой результат. Даже то, что потенциально обязано было обнаружиться в дистрибутивах - найдено не было. При этом банальный windows defender обнаружил именно то, что должно было быть обнаружено. Платим за продукты KES уже больше 10 лет. Теперь встаёт большой вопрос, стоит ли вообще платить и защищать свою инфраструктуру продуктами Касперского.

 

Интересный нюанс, выявленный в данном конкретном случае  -вирус пропускает директории и, соответственно, их содержимое если в имени содержится "temp".

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 hour ago, Gorynych2000 said:

еперь встаёт большой вопрос, стоит ли вообще платить и защищать свою инфраструктуру продуктами Касперского.

Антивирус не защитит инфраструктуру сети от проникновения. Антивирус не может защитить систему от запуска вредоносного кода, если злоумышленники после проникновения получают максимальные права, получают доступ к консоли антивируса и отключают защиту через легитимные задачи и политики.

Quote

Интересный нюанс, выявленный в данном конкретном случае  -вирус пропускает директории и, соответственно, их содержимое если в имени содержится "temp".

Если вы являетесь подписчиком на продукты ЛК, в таком случае о подобных обнаруженных нюансах лучше всего обращаться в техническую поддержку ЛК.

Quote

При этом банальный windows defender обнаружил именно то, что должно было быть обнаружено.

если был обнаружен сэмпл, который не детектируется продуктом, отправляем сэмпл в вирлаб. Как минимум, можно загрузить найденный сэмпл на VT для проверки его детектирования.

 

Тот же сэмпл от GAZPROM, скомпилированный от 02.06.2024 детктировался продуктом Касперского, как видим, как минимум 10 дней назад, а может и раньше, сразу в момент загрузки на VT

С учетом последнего анализа

Last Analysis:

2024-06-03 12:39:19 UTC

https://www.virustotal.com/gui/file/01e64cad13f437c78b76f36d1d042993a5a0ccb0e8cf715907a1a791819d5e20/detection

Изменено пользователем safety
  • Like (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • AlexYarm
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Keldenis
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • escadron
      Автор escadron
      В далеком 2015 году скачал какую-то фигню на комп, потерял практически все фотографии и видео. Получил от матери по шапке и благополучно об этом забыл.
      Сейчас же внезапно захотелось восстановить файлы, если, конечно, это возможно.
      Из-за ограничений формата прикрепляемых файлов не могу предоставить пример зашифрованных данных.
      Файл с почтой/другой информацией (README**.txt) либо был утерян, либо же вообще не появлялся на компьютере.
      Надеюсь, знатоки смогут помочь.
    • boshs
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

×
×
  • Создать...