Перейти к содержанию

elpaco-team можно ли самостоятельно решить проблему?

МАН
 Share

Рекомендуемые сообщения

МАН Новичок

МАН

Опубликовано
  • Автор
Опубликовано

Сегодня с утра докторвебом было обнаружено повторное заражение. Потом прошелся касперским. В скане FRST упоминается какой-то руткит в службах. Касперский не реагирует.

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)

Опять появились вот такие вещи

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
 

Снимок экрана 2024-07-11 в 5.28.51.png

FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)

Возможно эффект использования антивирусных сканеров.

 

ыполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Run: [QLogicSaveSystemInfo] => rundll32.exe qlco10011.dll,QLSaveSystemInfo (Нет файла)
HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)
2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted
2024-07-09 14:55 - 2024-07-09 14:55 - 000000000 ____D C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
HKU\S-1-5-21-2121173459-1681163310-1468016665-1000\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Перегрузите систему,

и сделайте новые логи FRST, добавьте новые логи для контроля.

+

добавьте лог проверки в Cureit

+

вопрос:

KES установили уже после нового обнаружения в Cureit?

+

вопрос2:

xyz - служебная учетная запись, или учетка, созданная злоумышленниками?

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
МАН Новичок

МАН

Опубликовано
  • Автор
Опубликовано

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!) исчезло из логов FRST еще вечером. 

 

Эти строки я пофиксил сам

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ

Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ

 

Fixlog во вложении еще вечерний

FRST текущий

cureit проходил несколько раз 

KES установил после прохода cureit

учетку xyz создал сам

 

 

 

Fixlog.txt FRST.txt Addition.txt cureit(14616).log

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Windef видимо ограничен после установки KES

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ

 

Fixlog отличается от скрипта, который вам надо было выполнить, 

 

Интересовали эти записи: 

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted
2024-07-09 14:55 - 2024-07-09 14:55 - 000000000 ____D C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp

По логу Курейта от 11.07 ничего не найдено.

 

Scan session started 2024/07/11 08:08:51 

 

Total 17422287795 bytes in 39944 files scanned (41797 objects)
Total 39939 files (41593 objects) are clean
There are no infected objects detected
Total 204 files are raised error condition
Scan time is 00:13:19.954

 

Этот инструмент не поможет:

2024-07-08 13:33 - 2024-07-08 13:33 - 000969845 _____ (ShadowExplorer.com ) C:\Users\psisoev\Downloads\ShadowExplorer-0.9-setup.exe

Mimic очищает точки восстановления.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
МАН Новичок

МАН

Опубликовано
  • Автор
Опубликовано

Спасибо за поддержку!

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted     создано мной

2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp    создано мной

 

Текущий проход во вложении

 

 

 

Fixlog.txt FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
4 минуты назад, МАН сказал:

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted     создано мной

2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp    создано мной

ясно, тогда пока все. Успехов в работе над безопасностью ваших устройств.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ООО Арт-Гарант
      Атака ELPACO-team
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • DeepX
      Поймали шифровальщика ELPACO-team
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      Тоже Поймали шифровальщика ELPACO-team
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • Эдуард Autofresh
      Зашифровались файлы, ELPACO-TEAM
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
    • Anix
      log работы ELPACO-team
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
×
×
  • Создать...