Перейти к содержанию

Атака ELPACO-team

ООО Арт-Гарант

Автор ООО Арт-Гарант
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

ООО Арт-Гарант

ООО Арт-Гарант

Опубликовано
Опубликовано

Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
1-я атака состоялась 26.11.2024 18:45-20:33
2-я атака состоялась 26.11.2024 22:00-23:45
Обнаружены с начала рабочего дня в 9:00
3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
в это же время мы отключили сервер от питания
в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

photo_2024-11-27_11-09-44.jpg

Архив с паролем (virus).zip

safety

safety

Опубликовано
Опубликовано
11 минут назад, ООО Арт-Гарант сказал:

Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

Логи FRST нужны для поиска тел шифровальщика, а так же для очистки системы от файлов и записей шифровальщика.

С расшифровкой файлов после атаки Mimic не сможем помочь.

safety

safety

Опубликовано
Опубликовано
15 минут назад, ООО Арт-Гарант сказал:

Логи с сервера компании

Выполните очистку системы с автоперезагрузкой

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Доступ не разрешён] C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe <2>
(C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\reg.exe
(C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe ->) (voidtools) [Доступ не разрешён] C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\Everything.exe
HKLM\...\Run: [systemsg.exe] => C:\Users\Митяева\AppData\Local\Decrypt_ELPACO-team_info.txt [967 2024-11-26] () [Файл не подписан]
HKLM\...\Run: [systemsg] => C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe [0 0000-00-00] () [Доступ не разрешён]
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-11-29 10:12 - 2024-11-29 10:13 - 000000967 _____ C:\Users\Ломаченков\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-27 10:25 - 2024-11-27 10:25 - 000000967 _____ C:\Users\ivsen\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 19:01 - 2024-11-26 19:01 - 000000967 _____ C:\Users\Митяева\Desktop\Decrypt_ELPACO-team_info.txt
2024-11-26 19:00 - 2024-11-26 19:00 - 000000967 _____ C:\Users\Митяева\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 18:26 - 2024-11-26 21:59 - 000000967 _____ C:\Users\users$1\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 18:25 - 2024-11-29 10:11 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-11-26 18:22 - 2024-11-26 18:22 - 000000000 ____D C:\Users\users$1\AppData\Roaming\Process Hacker 2
2024-11-26 18:21 - 2024-11-26 18:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-11-26 18:21 - 2024-11-26 18:21 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-11-22 12:03 - 2024-11-22 12:03 - 000000430 _____ C:\Windows\system32\u1.bat
2024-11-14 17:17 - 2024-02-05 23:56 - 002248928 _____ (IObit ) C:\Users\Adnis\Desktop\3.exe
2024-11-14 17:17 - 2020-11-06 13:25 - 002267848 _____ (wj32 ) C:\Users\Adnis\Desktop\2.exe
2024-11-29 10:13 - 2021-08-17 13:36 - 000000000 __SHD C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2024-11-29 10:11 - 2022-09-07 10:58 - 000000000 ____D C:\temp
2024-11-29 10:11 - 2021-08-17 13:36 - 000000000 __SHD C:\Users\ivsen\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2024-11-27 10:24 - 2023-01-01 06:56 - 000000000 __SHD C:\Users\users$1\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

safety

safety

Опубликовано
Опубликовано

По второму серверу необходимы логи от Администратора.

Запущено с помощью usr-12 (ВНИМАНИЕ: Пользователь не является Администратором) на 1C_SERVER (Gigabyte Technology Co., Ltd. B560 HD3) (29-11-2024 10:25:33)

 

ООО Арт-Гарант

ООО Арт-Гарант

Опубликовано
  • Автор
Опубликовано

Fixlog.txt

 

28.11.2024 в 14:59, safety сказал:

С расшифровкой файлов после атаки Mimic не сможем помочь.

В нашем случае произошла именно такая атака?
Мы можем использовать откат системы на резервную её копию?
Какие рекомендации посоветуете?
Достаточно ли будет поставить антивирус касперский с расширенными услугами (платный) на общедоступные сервера и посоветуйте какой пакет нам стоит приобрести
Так же стоит ли нам изменить пароли для входа в общий доступ сервера на всех устройствах/пользователях

 

Прилагаю для доп проверки логи с Сервера 1С от Администратора
FRST.txtAddition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по Fixlog очистка первого сервера прошла успешно.

Логи по второму серверу сейчас проверю.

----------

По второму серверу следов шифрования нет.

 

проверьте так же ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Атака BadCam — перепрошивка без отключения | Блог Касперского
      Автор KL FC Bot
      Подключенную к компьютеру веб-камеру обычно подозревают в подглядывании, но теперь ей придумали роль в традиционных кибератаках. На конференции Black Hat описали атаку BadCam, которая позволяет перепрошить камеру, а затем выполнять на компьютере, к которому она подключена, вредоносные действия. По сути это вариант давно известной атаки типа BadUSB, однако главное отличие BadCam заключается в том, что атакующим необязательно заранее готовить вредоносное устройство — они могут использовать изначально «чистую» и уже подключенную к компьютеру камеру. Еще одно неприятное новшество — атака может быть произведена полностью дистанционно. Хотя исследование провели этичные хакеры и BadCam еще не используется в реальных атаках, злоумышленникам будет несложно разобраться в ней и воспроизвести нужные действия. Поэтому организациям стоит понять механику BadCam и принять защитные меры.
      Возвращение BadUSB
      Атаку BadUSВ тоже представили на Black Hat, правда в 2014 году. Ее суть в том, что безобидное на вид устройство, например USB-накопитель, перепрограммируют, дополняя его прошивку. При подключении к компьютеру этот вредоносный гаджет «представляется» составным USB-устройством, имеющим несколько компонентов, таких как USB-накопитель, клавиатура или сетевой адаптер. Функции накопителя продолжают исправно работать, пользователь работает с флешкой как обычно. Одновременно скрытая часть прошивки, имитирующая клавиатуру, отправляет на компьютер команды, например клавиатурную комбинацию для запуска PowerShell и последующего ввода команд для загрузки из Сети вредоносных файлов или запуска туннеля к серверу атакующих. Функции BadUSB часто используют в работе современных red team, для этого обычно применяются специализированные «хакерские мультитулы» вроде Hak5 Rubber Ducky или Flipper Zero.
       
      View the full article
    • KL FC Bot
      Фишинговая атака на разработчиков PyPi и AMO | Блог Касперского
      Автор KL FC Bot
      С разницей буквально в несколько дней команда, поддерживающая Python Package Index (каталог программного обеспечения, написанного на Python) и Mozilla (организация, стоящая за разработкой браузера Firefox), выпустили крайне похожие предупреждения о фишинговых атаках. Неизвестные злоумышленники пытаются заманить Python-разработчиков, использующих PyPi и создателей плагинов для Firefox, имеющих аккаунты addons.mozilla.org, на фальшивые сайты площадок, с целью выманить их учетные данные. В связи с чем мы рекомендуем разработчиков ПО с открытым исходным кодом (не только пользователей PyPi и AMO) быть особенно внимательными при переходе по ссылкам из писем.
      Эти две атаки не обязательно связаны между собой (все-таки методы у фишеров несколько различаются). Однако вместе они демонстрируют повышенный интерес киберпреступников к репозиториям кода и магазинам приложений. Вероятнее всего, их конечная цель — организация атак на цепочку поставок, или перепродажа учетных данных другим преступникам, которые смогут организовать такую атаку. Ведь получив доступ к аккаунту разработчика, злоумышленники могут внедрить вредоносный код в пакеты или плагины.
      Детали фишинговой атаки на разработчиков PyPi
      Фишинговые письма, адресованные пользователям Python Package Index, рассылаются по адресам, указанным в метаданных пакетов, опубликованных на сайте. В заголовке находится фраза [PyPI] Email verification. Письма отправлены с адресов на домене @pypj.org, который всего на одну букву отличается от реального домена каталога — @pypi.org, то есть используют строчную j вместо строчной i.
      В письме говорится, что разработчикам необходимо подтвердить адрес электронной почты, для чего следует перейти по ссылке на сайт, имитирующий дизайн легитимного PyPi. Интересно, что фишинговый сайт не только собирает учетные данные жертв, но и передает их на реальный сайт каталога, так что после завершения «верификации» жертва оказывается на легитимном сайте и зачастую даже не понимает, что у нее только что похитили учетные данные.
      Команда, поддерживающая Python Package Index, рекомендует всем кликнувшим на ссылку из письма немедленно сменить пароль, а также проверить раздел Security History в своем личном кабинете.
       
      View the full article
    • KL FC Bot
      SleepWalk: сложная атака с кражей ключей шифрования | Блог Касперского
      Автор KL FC Bot
      У информационной безопасности есть много уровней сложности. На слуху эффективные, но технически простые атаки с использованием фишинговых рассылок и социального инжиниринга. Мы часто пишем о сложных таргетированных атаках с использованием уязвимостей в корпоративном программном обеспечении и сервисах. Атаки, использующие фундаментальные особенности работы аппаратного обеспечения, можно считать одними из самых сложных. Цена такой атаки высока, но в некоторых случаях это не останавливает злоумышленников.
      Исследователи из двух американских университетов недавно опубликовали научную работу, в которой показан интересный пример атаки на «железо». Используя стандартную функцию операционной системы, позволяющую переключаться между разными задачами, авторы исследования смогли разработать атаку SleepWalk, позволяющую взломать новейший алгоритм шифрования данных.
      Необходимые вводные: атаки по сторонним каналам
      SleepWalk относится к классу атак по сторонним каналам. Под «сторонним каналом» обычно понимается любой способ похитить секретную информацию, используя непрямое наблюдение. Например, представим, что вы не можете наблюдать за человеком, который набирает на клавиатуре пароль, но можете подслушивать. Это реалистичная атака, в которой сторонним каналом выступает звук нажатия на клавиши, — он выдает, какие именно буквы и символы были набраны. Классическим сторонним каналом является наблюдение за изменением энергопотребления вычислительной системы.
      Почему энергопотребление меняется? Здесь все просто: разные вычислительные задачи требуют разных ресурсов. При сложных вычислениях нагрузка на процессор и оперативную память будет максимальной, а при наборе текста в текстовом редакторе компьютер большую часть времени будет находиться в режиме простоя. В некоторых случаях изменение энергопотребления выдает секретную информацию, чаще всего — приватные ключи, используемые для шифрования данных. Точно так же как сейф с кодовым замком может выдавать правильное положение ротора еле слышным щелчком.
      Почему такие атаки сложны? Прежде всего, любой компьютер одновременно выполняет множество задач. Все они как-то влияют на потребление электроэнергии. Выделить из этого шума какую-то полезную информацию крайне непросто. Даже при исследовании простейших вычислительных устройств, таких как ридеры смарт-карт, исследователи делают сотни тысяч измерений за короткий период времени, повторяют эти измерения десятки и сотни раз, применяют сложные методы обработки сигнала, чтобы в итоге подтвердить или опровергнуть возможность атаки по стороннему каналу. Так вот, SleepWalk в некотором смысле упрощает такую работу: исследователи смогли извлечь полезную информацию, измеряя характер энергопотребления только один раз, во время так называемого переключения контекста.
      График изменения напряжения во время переключения контекста центрального процессора. Источник
       
      View the full article
    • KL FC Bot
      Как защитить онлайн-коммерцию от атак мошенников | Блог Касперского
      Автор KL FC Bot
      По данным исследовательской компании Juniper Research, оборот электронной торговли в 2024 году превысил 7 триллионов долларов и, по прогнозам, вырастет в полтора раза за следующие пять лет. Но интерес злоумышленников к этой сфере растет еще быстрее. В прошлом году потери от мошенничества превысили $44 млрд, а за пять лет вырастут до $107 млрд.
      Онлайн-площадка любого размера, работающая в любой сфере, может стать жертвой — будь это маркетплейс контента, магазин стройматериалов, бюро путешествий или сайт аквапарка. Если вы принимаете платежи, ведете программу лояльности, поддерживаете личный кабинет клиента — к вам обязательно придут мошенники. Какие схемы атаки наиболее популярны, что за потери несет бизнес и как все это прекратить?
      Кража аккаунтов
      Благодаря инфостилерам и различным утечкам баз данных у злоумышленников на руках есть миллиарды пар e-mail+пароль. Их можно по очереди пробовать на любых сайтах с личным кабинетом, небезосновательно надеясь, что жертва атаки везде использует один и тот же пароль. Эта атака называется credential stuffing, и, если она будет успешна, злоумышленники смогут от имени клиента оплачивать заказы привязанной к аккаунту кредитной картой или использовать баллы лояльности. Также мошенники могут использовать аккаунт для махинаций с покупкой товаров и оплатой сторонними банковскими картами.
       
      View the full article
    • KL FC Bot
      Компрометация NX build – что важно знать разработчикам и службам ИБ про атаку s1ngularity | Блог Касперского
      Автор KL FC Bot
      Популярная система сборки и оптимизации сборочного конвейера CI/CD Nx была скомпрометирована в ночь с 26 на 27 августа. В пакеты системы, имеющие по статистике репозитория npm более 5 миллионов загрузок еженедельно, был добавлен вредоносный скрипт, который запускается сразу после инсталляции пакета. У тысяч разработчиков, применяющих Nx для ускорения и оптимизации сборки приложений, были украдены важные конфиденциальные данные: токены npm и GitHub, ключи SSH, криптокошельки, API-ключи. Эти данные выгружались в публичный репозиторий GitHub. Масштабная утечка секретов создает долгосрочную угрозу атак на цепочку поставок — даже когда вредоносные пакеты будут удалены из пораженных систем, у злоумышленников все равно могут остаться возможности компрометации приложений, создаваемых этими тысячами разработчиков.
      Хронология атаки и реагирования
      Злоумышленники воспользовались скомпрометированным токеном одного из мейнтейнеров пакета Nx чтобы в течение двух часов с 22:32 UTC 26 августа до 0:37 UTC 27 августа опубликовать многочисленные вредоносные версии пакета Nx и его плагинов. Двумя часами позже платформа npm удалила все скомпрометированные версии пакетов, а еще час спустя владельцы Nx отозвали украденный токен — атакующие потеряли доступ к публикации. Тем временем на GitHub стали появляться тысячи публичных репозиториев, содержащих данные, украденные вредоносным скриптом.
      27 августа в 9:05 UTC отреагировал уже GitHub, сделав все репозитории с утечкой приватными и недоступными для поиска. Тем не менее, украденные данные были общедоступны более 9 часов и их скачали многократно разные группы злоумышленников и исследователей. В общей сложности было выпущено 19 скомпрометированных версий Nx и плагинов:
      @nx, 20.9.0, 20.10.0, 20.11.0, 20.12.0, 21.5.0, 21.6.0, 21.7.0, 21.8.0 @nx/devkit, 20.9.0, 21.5.0 @nx/enterprise-cloud, 3.2.0 @nx/eslint, 21.5.0 @nx/js, 20.9.0, 21.5.0 @nx/key, 3.2.0 @nx/node, 20.9.0, 21.5.0 @nx/workspace, 20.9.0, 21.5.0  
      View the full article
×
×
  • Создать...