Перейти к содержанию

Атака ELPACO-team

ООО Арт-Гарант

Автор ООО Арт-Гарант
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

ООО Арт-Гарант Новичок

ООО Арт-Гарант

Опубликовано
Опубликовано

Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
1-я атака состоялась 26.11.2024 18:45-20:33
2-я атака состоялась 26.11.2024 22:00-23:45
Обнаружены с начала рабочего дня в 9:00
3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
в это же время мы отключили сервер от питания
в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

photo_2024-11-27_11-09-44.jpg

Архив с паролем (virus).zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
11 минут назад, ООО Арт-Гарант сказал:

Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

Логи FRST нужны для поиска тел шифровальщика, а так же для очистки системы от файлов и записей шифровальщика.

С расшифровкой файлов после атаки Mimic не сможем помочь.

Ссылка на комментарий
Поделиться на другие сайты
ООО Арт-Гарант Новичок

ООО Арт-Гарант

Опубликовано
  • Автор
Опубликовано

Логи с сервера компании Addition.txtFRST.txtDecrypt_ELPACO-team_info.txt

Логи с бухгалтерского сервера с 1С на всякий случай для проверки Addition.txtFRST.txt

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
15 минут назад, ООО Арт-Гарант сказал:

Логи с сервера компании

Выполните очистку системы с автоперезагрузкой

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Доступ не разрешён] C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe <2>
(C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\reg.exe
(C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe ->) (voidtools) [Доступ не разрешён] C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\Everything.exe
HKLM\...\Run: [systemsg.exe] => C:\Users\Митяева\AppData\Local\Decrypt_ELPACO-team_info.txt [967 2024-11-26] () [Файл не подписан]
HKLM\...\Run: [systemsg] => C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe [0 0000-00-00] () [Доступ не разрешён]
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-11-29 10:12 - 2024-11-29 10:13 - 000000967 _____ C:\Users\Ломаченков\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-27 10:25 - 2024-11-27 10:25 - 000000967 _____ C:\Users\ivsen\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 19:01 - 2024-11-26 19:01 - 000000967 _____ C:\Users\Митяева\Desktop\Decrypt_ELPACO-team_info.txt
2024-11-26 19:00 - 2024-11-26 19:00 - 000000967 _____ C:\Users\Митяева\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 18:26 - 2024-11-26 21:59 - 000000967 _____ C:\Users\users$1\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 18:25 - 2024-11-29 10:11 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-11-26 18:22 - 2024-11-26 18:22 - 000000000 ____D C:\Users\users$1\AppData\Roaming\Process Hacker 2
2024-11-26 18:21 - 2024-11-26 18:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-11-26 18:21 - 2024-11-26 18:21 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-11-22 12:03 - 2024-11-22 12:03 - 000000430 _____ C:\Windows\system32\u1.bat
2024-11-14 17:17 - 2024-02-05 23:56 - 002248928 _____ (IObit ) C:\Users\Adnis\Desktop\3.exe
2024-11-14 17:17 - 2020-11-06 13:25 - 002267848 _____ (wj32 ) C:\Users\Adnis\Desktop\2.exe
2024-11-29 10:13 - 2021-08-17 13:36 - 000000000 __SHD C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2024-11-29 10:11 - 2022-09-07 10:58 - 000000000 ____D C:\temp
2024-11-29 10:11 - 2021-08-17 13:36 - 000000000 __SHD C:\Users\ivsen\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2024-11-27 10:24 - 2023-01-01 06:56 - 000000000 __SHD C:\Users\users$1\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По второму серверу необходимы логи от Администратора.

Запущено с помощью usr-12 (ВНИМАНИЕ: Пользователь не является Администратором) на 1C_SERVER (Gigabyte Technology Co., Ltd. B560 HD3) (29-11-2024 10:25:33)

 

Ссылка на комментарий
Поделиться на другие сайты
ООО Арт-Гарант Новичок

ООО Арт-Гарант

Опубликовано
  • Автор
Опубликовано

Fixlog.txt

 

28.11.2024 в 14:59, safety сказал:

С расшифровкой файлов после атаки Mimic не сможем помочь.

В нашем случае произошла именно такая атака?
Мы можем использовать откат системы на резервную её копию?
Какие рекомендации посоветуете?
Достаточно ли будет поставить антивирус касперский с расширенными услугами (платный) на общедоступные сервера и посоветуйте какой пакет нам стоит приобрести
Так же стоит ли нам изменить пароли для входа в общий доступ сервера на всех устройствах/пользователях

 

Прилагаю для доп проверки логи с Сервера 1С от Администратора
FRST.txtAddition.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Судя по Fixlog очистка первого сервера прошла успешно.

Логи по второму серверу сейчас проверю.

----------

По второму серверу следов шифрования нет.

 

проверьте так же ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Binomial
      ELPACO-team
      Автор Binomial
      Добрый день! Подскажите пожалуйста , появился ли дешифратор или как-то можно вылечить   ELPACO-team , Your decryption ID is Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***_*ELPACO-team-Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***
       
    • Alexandr_
      заразился ELPACO-team
      Автор Alexandr_
      Добрый день, помогите победить шифровальщик от Elpaco-team, зашифровал документы и  базу 1С (
      Надеюсь на Вашу помощь
      Addition.txt Decrypt_ELPACO-team_info.txt filespdf.rar FRST.txt
    • Dmitryplss
      Вирус шифровальщик заменил расширения на Elpaco-team
      Автор Dmitryplss
      Добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С, в локальной сети так же зашифрованные файлы
      File.rar Addition.txt FRST.txt
    • KL FC Bot
      Фишинг через Google Ads: атаки на SEOшников и маркетологов
      Автор KL FC Bot
      Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
      Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
      Поддельные страницы Semrush
      Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.
      Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
      Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
       
      View the full article
    • KL FC Bot
      Ransomware-группировка использует ClickFix для атак на компании
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
×
×
  • Создать...