Перейти к содержанию

Атака шифровальщиком .FAUST на инфраструктуру компании.

Ak.512
 Share

Рекомендуемые сообщения

Ak.512 Новичок

Ak.512

Опубликовано
Опубликовано

Здравствуйте!

Большая часть инфраструктуры была атакована шифровальщиком-вымогателем, прикладываем файлы диагностики по инструкции.Addition.txtОбразцы.rarinfo.txtFRST.txt
Предварительно атака началась в 23:00 14.07.2024, однако примерное направление пока не выяснили.

 

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Видимо, какое то время сидели в сети.

 

Цитата

Date: 2024-07-07 16:55:20.484
Name: HackTool:Win32/Bruteforcer!MTB
Severity: Высокий
Category: Программное средство
Path: file:_C:\Users\Администратор.TK-LIFE\Desktop\Netscan 1.3\BR2\AccountRestore.exe; process:_pid:54912,ProcessStart:133648173229650695
Detection Origin: Локальный компьютер
Detection Type: Конкретный
Detection Source: Система
Process Name: C:\Users\Администратор.TK-LIFE\Desktop\Netscan 1.3\BR2\AccountRestore.exe
Security intelligence Version: AV: 1.413.743.0, AS: 1.413.743.0, NIS: 0.0.0.0
Engine Version: AM: 1.1.24050.5, NIS: 0.0.0.0

 

Файл шифровальщика обнаружен WinDef 15.07, очевидно в момент атаки шифрованием.

 

Цитата

Date: 2024-07-15 05:47:37.894
Name: Ransom:Win32/Phobos.PM
Severity: Критический
Category: Программа-шантажист
Path: file:_C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe; file:_C:\Users\Администратор.TK-LIFE\AppData\Local\Fast.exe; file:_C:\Users\Администратор.TK-LIFE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe; file:_C:\Users\Администратор.TK-LIFE\Desktop\Fast.exe; process:_pid:23884,ProcessStart:133654661935603362; regkey:_HKCU@S-1-5-21-2654954113-1810372900-500332836-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; regkey:_HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; runkey:_HKCU@S-1-5-21-2654954113-1810372900-500332836-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; runkey:_HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Fast; startup:_C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe; startup:_C:\Users\Администратор.TK-LIFE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe
Detection Origin: Локальный компьютер
Detection Type: Конкретный
Detection Source: Система
Process Name: C:\Users\Администратор.TK-LIFE\Desktop\Fast.exe
Security intelligence Version: AV: 1.415.90.0, AS: 1.415.90.0, NIS: 0.0.0.0
Engine Version: AM: 1.1.24060.5, NIS: 0.0.0.0

Если сохранился файл шифровальщика, добавьте файл в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ООО Арт-Гарант
      Атака ELPACO-team
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • KL FC Bot
      BadRAM: атака при помощи вредоносного модуля RAM
      От KL FC Bot
      Исследователи из трех европейских университетов недавно продемонстрировали атаку BadRAM. Она стала возможна благодаря уязвимости в процессорах AMD EPYC и угрожает прежде всего поставщикам облачных решений и систем виртуализации. В наихудшем сценарии данная уязвимость может быть использована, чтобы скомпрометировать данные из максимально защищенной виртуальной машины.
      Впрочем, реализовать этот сценарий на практике будет достаточно нелегко. Атака предполагает физический доступ к серверу, а затем — максимальный уровень доступа к программному обеспечению. Однако, прежде чем обсуждать атаку BadRAM в деталях, стоит поговорить о концепции Trusted Execution Environment, или TEE.
      Особенности TEE
      Ошибки в программном обеспечении неизбежны. По разным оценкам, сделанным еще в девяностые годы прошлого века, на каждую тысячу строк кода приходится от 1 до 20 ошибок. Часть этих ошибок приводит к уязвимостям, через которые злоумышленники могут попробовать добраться до конфиденциальной информации. Поэтому в случаях, когда защищенность каких-то данных или цепочки вычислений (например, обработки секретных ключей шифрования) должна быть максимальной, имеет смысл изолировать эти данные (или вычисления) от всего остального кода. Примерно в этом и состоит концепция Trusted Execution Environment.
      Существует огромное количество реализаций TEE для решения различных задач. В процессорах AMD она реализована в виде технологии Secure Encrypted Virtualization, обеспечивающей повышенную защиту виртуальных машин. Она подразумевает шифрование данных виртуальной системы в памяти, чтобы системы других виртуальных машин или оператор физического сервера, на котором развернуты виртуальные ОС, не могли получить к ним доступ. Относительно недавно для этой технологии было выпущено расширение Secure Nested Paging, способное определить попытки несанкционированного доступа к данным виртуальной системы.
      Представьте себе сценарий, когда финансовая организация использует инфраструктуру стороннего подрядчика для работы своих виртуальных систем. На виртуальных ОС обрабатываются максимально конфиденциальные данные, и нужно обеспечить их стопроцентную безопасность. Можно предъявлять повышенные требования к подрядчику, но в некоторых случаях проще исходить из того, что ему нельзя полностью доверять.
       
      View the full article
    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
×
×
  • Создать...