Перейти к содержанию

Атака ELPACO-team

ООО Арт-Гарант

Автор ООО Арт-Гарант
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

ООО Арт-Гарант

ООО Арт-Гарант

Опубликовано
Опубликовано

Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
1-я атака состоялась 26.11.2024 18:45-20:33
2-я атака состоялась 26.11.2024 22:00-23:45
Обнаружены с начала рабочего дня в 9:00
3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
в это же время мы отключили сервер от питания
в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

photo_2024-11-27_11-09-44.jpg

Архив с паролем (virus).zip

safety

safety

Опубликовано
Опубликовано
11 минут назад, ООО Арт-Гарант сказал:

Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

Логи FRST нужны для поиска тел шифровальщика, а так же для очистки системы от файлов и записей шифровальщика.

С расшифровкой файлов после атаки Mimic не сможем помочь.

safety

safety

Опубликовано
Опубликовано
15 минут назад, ООО Арт-Гарант сказал:

Логи с сервера компании

Выполните очистку системы с автоперезагрузкой

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Доступ не разрешён] C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe <2>
(C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\reg.exe
(C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe ->) (voidtools) [Доступ не разрешён] C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\Everything.exe
HKLM\...\Run: [systemsg.exe] => C:\Users\Митяева\AppData\Local\Decrypt_ELPACO-team_info.txt [967 2024-11-26] () [Файл не подписан]
HKLM\...\Run: [systemsg] => C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe [0 0000-00-00] () [Доступ не разрешён]
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-11-29 10:12 - 2024-11-29 10:13 - 000000967 _____ C:\Users\Ломаченков\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-27 10:25 - 2024-11-27 10:25 - 000000967 _____ C:\Users\ivsen\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 19:01 - 2024-11-26 19:01 - 000000967 _____ C:\Users\Митяева\Desktop\Decrypt_ELPACO-team_info.txt
2024-11-26 19:00 - 2024-11-26 19:00 - 000000967 _____ C:\Users\Митяева\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 18:26 - 2024-11-26 21:59 - 000000967 _____ C:\Users\users$1\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-11-26 18:25 - 2024-11-29 10:11 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-11-26 18:22 - 2024-11-26 18:22 - 000000000 ____D C:\Users\users$1\AppData\Roaming\Process Hacker 2
2024-11-26 18:21 - 2024-11-26 18:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-11-26 18:21 - 2024-11-26 18:21 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-11-22 12:03 - 2024-11-22 12:03 - 000000430 _____ C:\Windows\system32\u1.bat
2024-11-14 17:17 - 2024-02-05 23:56 - 002248928 _____ (IObit ) C:\Users\Adnis\Desktop\3.exe
2024-11-14 17:17 - 2020-11-06 13:25 - 002267848 _____ (wj32 ) C:\Users\Adnis\Desktop\2.exe
2024-11-29 10:13 - 2021-08-17 13:36 - 000000000 __SHD C:\Users\Ломаченков\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2024-11-29 10:11 - 2022-09-07 10:58 - 000000000 ____D C:\temp
2024-11-29 10:11 - 2021-08-17 13:36 - 000000000 __SHD C:\Users\ivsen\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2024-11-27 10:24 - 2023-01-01 06:56 - 000000000 __SHD C:\Users\users$1\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

safety

safety

Опубликовано
Опубликовано

По второму серверу необходимы логи от Администратора.

Запущено с помощью usr-12 (ВНИМАНИЕ: Пользователь не является Администратором) на 1C_SERVER (Gigabyte Technology Co., Ltd. B560 HD3) (29-11-2024 10:25:33)

 

ООО Арт-Гарант

ООО Арт-Гарант

Опубликовано
  • Автор
Опубликовано

Fixlog.txt

 

28.11.2024 в 14:59, safety сказал:

С расшифровкой файлов после атаки Mimic не сможем помочь.

В нашем случае произошла именно такая атака?
Мы можем использовать откат системы на резервную её копию?
Какие рекомендации посоветуете?
Достаточно ли будет поставить антивирус касперский с расширенными услугами (платный) на общедоступные сервера и посоветуйте какой пакет нам стоит приобрести
Так же стоит ли нам изменить пароли для входа в общий доступ сервера на всех устройствах/пользователях

 

Прилагаю для доп проверки логи с Сервера 1С от Администратора
FRST.txtAddition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по Fixlog очистка первого сервера прошла успешно.

Логи по второму серверу сейчас проверю.

----------

По второму серверу следов шифрования нет.

 

проверьте так же ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ELF_11
      Зашифровали базы 1с (файловые)
      Автор ELF_11
      Зашифровали базы 1с. Прошу помощи.
      Addition.txt FRST.txt Новая папка.rar
    • Oleg_krsk
      Зашифрованы данные UVE! Помогите расшифровать!!!
      Автор Oleg_krsk
      Здравия! Зашифрованы данные:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by UVE
      Your decryption ID is BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw*uve-BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - cristi@mailum.com
      2) Telegram - @cristi025 or https://t.me/cristi025
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
       
      Помогите расшифровать!
    • SEDEK
      Шифровальщик
      Автор SEDEK
      Добрый день! Наша компания столкнулась с мошенниками, которые заразили все сервера под управлением виндовс сервер. Очень прошу помочь, так как встали все рабочие процессы и офис не может функционировать.
       
      ZUT - Windows Server 2019
      Angel - Windows Server 2012 R2
      ZVID - Windows Server 2019
      Версия везде одна и та же keswin_12.10.0.466_ru_aes256.exe
      578A3A89.key
          Kaspersky Security for WS and FS
      578A3A88.key
          Kaspersky Security Center
       
       
      Addition.txt FRST.txt file .zip
    • SPQR35
      Шифровальщик forumkasperskyclubru@msg.ws
      Автор SPQR35
      Зашифрованы документы на ПК. forumkasperskyclubru@msg.ws
      Addition.txt FRST.txt Файлы.rar
×
×
  • Создать...