Перейти к содержанию

Атака ELPACO-team

ООО Арт-Гарант

Автор ООО Арт-Гарант
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

ООО Арт-Гарант

ООО Арт-Гарант

Опубликовано
Опубликовано

Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
1-я атака состоялась 26.11.2024 18:45-20:33
2-я атака состоялась 26.11.2024 22:00-23:45
Обнаружены с начала рабочего дня в 9:00
3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
в это же время мы отключили сервер от питания
в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

photo_2024-11-27_11-09-44.jpg

Архив с паролем (virus).zip

safety

safety

Опубликовано
Опубликовано
11 минут назад, ООО Арт-Гарант сказал:

Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

Логи FRST нужны для поиска тел шифровальщика, а так же для очистки системы от файлов и записей шифровальщика.

С расшифровкой файлов после атаки Mimic не сможем помочь.

safety

safety

Опубликовано
Опубликовано
15 минут назад, ООО Арт-Гарант сказал:

Логи с сервера компании

Выполните очистку системы с автоперезагрузкой

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Доступ не разрешён] C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe <2>
(C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\reg.exe
(C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe ->) (voidtools) [Доступ не разрешён] C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\Everything.exe
HKLM\...\Run: [systemsg.exe] => C:\Users\Митяева\AppData\Local\Decrypt_ELPACO-team_info.txt [967 2024-11-26] () [Файл не подписан]
HKLM\...\Run: [systemsg] => C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe [0 0000-00-00] () [Доступ не разрешён]
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-11-29 10:12 - 2024-11-29 10:13 - 000000967 _____ C:\Users\Ломаченков\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-27 10:25 - 2024-11-27 10:25 - 000000967 _____ C:\Users\ivsen\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 19:01 - 2024-11-26 19:01 - 000000967 _____ C:\Users\Митяева\Desktop\Decrypt_ELPACO-team_info.txt
2024-11-26 19:00 - 2024-11-26 19:00 - 000000967 _____ C:\Users\Митяева\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 18:26 - 2024-11-26 21:59 - 000000967 _____ C:\Users\users$1\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 18:25 - 2024-11-29 10:11 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-11-26 18:22 - 2024-11-26 18:22 - 000000000 ____D C:\Users\users$1\AppData\Roaming\Process Hacker 2
2024-11-26 18:21 - 2024-11-26 18:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-11-26 18:21 - 2024-11-26 18:21 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-11-22 12:03 - 2024-11-22 12:03 - 000000430 _____ C:\Windows\system32\u1.bat
2024-11-14 17:17 - 2024-02-05 23:56 - 002248928 _____ (IObit ) C:\Users\Adnis\Desktop\3.exe
2024-11-14 17:17 - 2020-11-06 13:25 - 002267848 _____ (wj32 ) C:\Users\Adnis\Desktop\2.exe
2024-11-29 10:13 - 2021-08-17 13:36 - 000000000 __SHD C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2024-11-29 10:11 - 2022-09-07 10:58 - 000000000 ____D C:\temp
2024-11-29 10:11 - 2021-08-17 13:36 - 000000000 __SHD C:\Users\ivsen\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2024-11-27 10:24 - 2023-01-01 06:56 - 000000000 __SHD C:\Users\users$1\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

safety

safety

Опубликовано
Опубликовано

По второму серверу необходимы логи от Администратора.

Запущено с помощью usr-12 (ВНИМАНИЕ: Пользователь не является Администратором) на 1C_SERVER (Gigabyte Technology Co., Ltd. B560 HD3) (29-11-2024 10:25:33)

 

ООО Арт-Гарант

ООО Арт-Гарант

Опубликовано
  • Автор
Опубликовано

Fixlog.txt

 

28.11.2024 в 14:59, safety сказал:

С расшифровкой файлов после атаки Mimic не сможем помочь.

В нашем случае произошла именно такая атака?
Мы можем использовать откат системы на резервную её копию?
Какие рекомендации посоветуете?
Достаточно ли будет поставить антивирус касперский с расширенными услугами (платный) на общедоступные сервера и посоветуйте какой пакет нам стоит приобрести
Так же стоит ли нам изменить пароли для входа в общий доступ сервера на всех устройствах/пользователях

 

Прилагаю для доп проверки логи с Сервера 1С от Администратора
FRST.txtAddition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по Fixlog очистка первого сервера прошла успешно.

Логи по второму серверу сейчас проверю.

----------

По второму серверу следов шифрования нет.

 

проверьте так же ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SEDEK
      Шифровальщик
      Автор SEDEK
      Добрый день! Наша компания столкнулась с мошенниками, которые заразили все сервера под управлением виндовс сервер. Очень прошу помочь, так как встали все рабочие процессы и офис не может функционировать.
       
      ZUT - Windows Server 2019
      Angel - Windows Server 2012 R2
      ZVID - Windows Server 2019
      Версия везде одна и та же keswin_12.10.0.466_ru_aes256.exe
      578A3A89.key
          Kaspersky Security for WS and FS
      578A3A88.key
          Kaspersky Security Center
       
       
      Addition.txt FRST.txt file .zip
    • SPQR35
      Шифровальщик forumkasperskyclubru@msg.ws
      Автор SPQR35
      Зашифрованы документы на ПК. forumkasperskyclubru@msg.ws
      Addition.txt FRST.txt Файлы.rar
    • Gulzat
      Вирус шифровальщик, помогите расшифровать файлы. Расширение WwaNPUAD5F4uG5ySBCut6Zug6ICEkhGSUcX_eK8Nlk
      Автор Gulzat
      Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо.
      Addition.txt FRST.txt virus.7z
    • VictorM630103
      Помощь в расшифровке после действия шифровальщика
      Автор VictorM630103
      HEUR:Trojan-Ransom.Win32.Generic зашифровал файлы в системе. Добавленное расширение .gh8ta. Заражение произошло после открытия вложенного файла в электронном письме.
      Прилагаю логи, сообщение о выкупе. Файл вируса имеется в архиве (не прикреплен). Есть расшифрованные вымогателем пробные файлы.
      FRST.txt Файлы и сообщение о выкупе.zip
    • stifler511
      Зашифровали файлы forumkasperskyclubru@msg.ws
      Автор stifler511
      Здравствуйте, зашифровали файлы forumkasperskyclubru@msg.ws
      Addition.txt FRST.txt
      примеры
      Примеры файлов.rar
×
×
  • Создать...