mimic/n3wwv43 ransomware Атака ELPACO-team

[ООО Арт-Гарант]

Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
1-я атака состоялась 26.11.2024 18:45-20:33
2-я атака состоялась 26.11.2024 22:00-23:45
Обнаружены с начала рабочего дня в 9:00
3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
в это же время мы отключили сервер от питания
в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

Архив с паролем (virus).zip

[safety]

11 минут назад, ООО Арт-Гарант сказал:

Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

Логи FRST нужны для поиска тел шифровальщика, а так же для очистки системы от файлов и записей шифровальщика.

С расшифровкой файлов после атаки Mimic не сможем помочь.

[ООО Арт-Гарант]

Логи с сервера компании Addition.txtFRST.txtDecrypt_ELPACO-team_info.txt

Логи с бухгалтерского сервера с 1С на всякий случай для проверки Addition.txtFRST.txt

Addition.txt FRST.txt

[safety]

15 минут назад, ООО Арт-Гарант сказал:

Логи с сервера компании

Выполните очистку системы с автоперезагрузкой

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Доступ не разрешён] C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe <2>
(C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\reg.exe
(C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe ->) (voidtools) [Доступ не разрешён] C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\Everything.exe
HKLM\...\Run: [systemsg.exe] => C:\Users\Митяева\AppData\Local\Decrypt_ELPACO-team_info.txt [967 2024-11-26] () [Файл не подписан]
HKLM\...\Run: [systemsg] => C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe [0 0000-00-00] () [Доступ не разрешён]
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-11-29 10:12 - 2024-11-29 10:13 - 000000967 _____ C:\Users\Ломаченков\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-27 10:25 - 2024-11-27 10:25 - 000000967 _____ C:\Users\ivsen\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 19:01 - 2024-11-26 19:01 - 000000967 _____ C:\Users\Митяева\Desktop\Decrypt_ELPACO-team_info.txt
2024-11-26 19:00 - 2024-11-26 19:00 - 000000967 _____ C:\Users\Митяева\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 18:26 - 2024-11-26 21:59 - 000000967 _____ C:\Users\users$1\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 18:25 - 2024-11-29 10:11 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-11-26 18:22 - 2024-11-26 18:22 - 000000000 ____D C:\Users\users$1\AppData\Roaming\Process Hacker 2
2024-11-26 18:21 - 2024-11-26 18:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-11-26 18:21 - 2024-11-26 18:21 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-11-22 12:03 - 2024-11-22 12:03 - 000000430 _____ C:\Windows\system32\u1.bat
2024-11-14 17:17 - 2024-02-05 23:56 - 002248928 _____ (IObit ) C:\Users\Adnis\Desktop\3.exe
2024-11-14 17:17 - 2020-11-06 13:25 - 002267848 _____ (wj32 ) C:\Users\Adnis\Desktop\2.exe
2024-11-29 10:13 - 2021-08-17 13:36 - 000000000 __SHD C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2024-11-29 10:11 - 2022-09-07 10:58 - 000000000 ____D C:\temp
2024-11-29 10:11 - 2021-08-17 13:36 - 000000000 __SHD C:\Users\ivsen\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2024-11-27 10:24 - 2023-01-01 06:56 - 000000000 __SHD C:\Users\users$1\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

[safety]

По второму серверу необходимы логи от Администратора.

Запущено с помощью usr-12 (ВНИМАНИЕ: Пользователь не является Администратором) на 1C_SERVER (Gigabyte Technology Co., Ltd. B560 HD3) (29-11-2024 10:25:33)

 

[ООО Арт-Гарант]

Fixlog.txt

 

28.11.2024 в 14:59, safety сказал:

С расшифровкой файлов после атаки Mimic не сможем помочь.

В нашем случае произошла именно такая атака?
Мы можем использовать откат системы на резервную её копию?
Какие рекомендации посоветуете?
Достаточно ли будет поставить антивирус касперский с расширенными услугами (платный) на общедоступные сервера и посоветуйте какой пакет нам стоит приобрести
Так же стоит ли нам изменить пароли для входа в общий доступ сервера на всех устройствах/пользователях

 

Прилагаю для доп проверки логи с Сервера 1С от Администратора
FRST.txtAddition.txt

[safety]

Судя по Fixlog очистка первого сервера прошла успешно.

Логи по второму серверу сейчас проверю.

----------

По второму серверу следов шифрования нет.

 

проверьте так же ЛС.

Изменено 29 ноября, 2024 пользователем safety