Перейти к содержанию

Вирус-шифровальщик .GAZPROM


Рекомендуемые сообщения

Здравствуйте.

 

Утром 12.06.2024 обнаружили проблемы с файлами на рабочих станциях и серверах. Файлы (word, excel, pdf, jpg, архивы и т.д.) заимели расширение ".GAZPROM". Во всех каталогах появилось два файла "GAZPROM_DECRYPT.hta" и "GAZPROM_DECRYPT.html". Пошифровало все компьютеры в сети, которые были включены. На серверах работала система архивации Windows Server, но есть подозрение, что архивы также зашифрованы - среда восстановления показывает только одну точку, и точка эта создана примерно в тоже время, что и файлы с расширением GAZPROM. Можно ли как-то дешифровать? Во вложении лог проверки сервера FRST из среды восстановления сервера и архив с несколькими шифрованными файлами и записки о выкупе. Серверы были защищены KES, запуск одной из рабочих станций показал, что Defender отключен. При включении защитника он обнаруживает Ransom:Win32/ContiAD!MTB  

files.7z

Изменено пользователем kmscom
Удалил лог FRST , по просьбе автора
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, подскажите, защитит ли обновленный Касперский от проникновения этого шифровальщика? Может быть, порекомендуете антивирус для выявления/предупреждения на компах, где проблема не выявлена, но потенциально может быть, т.к. была связь с зараженным компом?

Ссылка на комментарий
Поделиться на другие сайты

Если есть физический доступ к данным ПК можно загрузиться с загрузочного диска, например c KRD

и выполнить сканирование системного диска.

 

меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

On 13.06.2024 at 17:28, safety said:

Если есть физический доступ к данным ПК можно загрузиться с загрузочного диска, например c KRD

и выполнить сканирование системного диска.

 

Из практики - сканирование сервера KRD дало нулевой результат. Даже то, что потенциально обязано было обнаружиться в дистрибутивах - найдено не было. При этом банальный windows defender обнаружил именно то, что должно было быть обнаружено. Платим за продукты KES уже больше 10 лет. Теперь встаёт большой вопрос, стоит ли вообще платить и защищать свою инфраструктуру продуктами Касперского.

 

Интересный нюанс, выявленный в данном конкретном случае  -вирус пропускает директории и, соответственно, их содержимое если в имени содержится "temp".

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 hour ago, Gorynych2000 said:

еперь встаёт большой вопрос, стоит ли вообще платить и защищать свою инфраструктуру продуктами Касперского.

Антивирус не защитит инфраструктуру сети от проникновения. Антивирус не может защитить систему от запуска вредоносного кода, если злоумышленники после проникновения получают максимальные права, получают доступ к консоли антивируса и отключают защиту через легитимные задачи и политики.

Quote

Интересный нюанс, выявленный в данном конкретном случае  -вирус пропускает директории и, соответственно, их содержимое если в имени содержится "temp".

Если вы являетесь подписчиком на продукты ЛК, в таком случае о подобных обнаруженных нюансах лучше всего обращаться в техническую поддержку ЛК.

Quote

При этом банальный windows defender обнаружил именно то, что должно было быть обнаружено.

если был обнаружен сэмпл, который не детектируется продуктом, отправляем сэмпл в вирлаб. Как минимум, можно загрузить найденный сэмпл на VT для проверки его детектирования.

 

Тот же сэмпл от GAZPROM, скомпилированный от 02.06.2024 детктировался продуктом Касперского, как видим, как минимум 10 дней назад, а может и раньше, сразу в момент загрузки на VT

С учетом последнего анализа

Last Analysis:

2024-06-03 12:39:19 UTC

https://www.virustotal.com/gui/file/01e64cad13f437c78b76f36d1d042993a5a0ccb0e8cf715907a1a791819d5e20/detection

Изменено пользователем safety
  • Like (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
×
×
  • Создать...