mimic/n3wwv43 ransomware Поймали шифровальщика ELPACO-team

[DeepX]

Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.

Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!

Addition.txt FRST.txt files.zip

[safety]

Возможно запуск шифровальщика был на другом устройстве.

 

Покажите содержимое папки

2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

 

Изменено 9 декабря, 2024 пользователем safety

[DeepX]

Не понял как мне узнать, что за устройство 2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC ?

 

Если тоже устройство где сканировал, то прикладываю скрин. Если надо содержимое могу приложить архив.

 

А папку с таким именем не нашёл

[safety]

35 минут назад, safety сказал:

Покажите содержимое папки

2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

Папка здесь C:\temp

Разве это не очевидно?

Судя по скрину, следов запуска шифровальщика на этом устройстве нет.

Значит запуск был на другом устройстве, на остальных серверах было шифрование расшаренных ресурсов.

Логи FRST нужны именно с сервера, где был запуск шифровальщика.

На нем в папке C:\Temp будет файл session.tmp

[DeepX]

Спасибо. Сейчас поищу

 

Не все сервера пересмотрел, но на одном нашёл вот такую папку. Может помочь?

[safety]

Лучше логи FRST сделайте, там все видно будет. Был запуск на нем шифровальщика или нет.

[DeepX]

session.tmp не нашёл нигде. Подскажите, какпонять, где FRST запускать? Что искать в логах?

 

[safety]

Возможно запуск шифровальщика был не на сервере, а на каком то из устройств/рабочих станций в ЛС

 

Цитата

Удалил теневые копии.

Проверьте там, где были удалены теневые копии

Изменено 9 декабря, 2024 пользователем safety

[DeepX]

Может быть. Отсканировал сервер, с которого скрин делал. Прикладываю логи frst.

Addition.txt FRST.txt

[safety]

Здесь тоже нет признаков запуска шифровальщика.

[DeepX]

Вот логи с 3 серверов. На этих серверах больше всего пst1.zipex.zipdb3.zipострадавших файлов.

[safety]

На ex0 смотрели папку C:\temp, есть в ней session.tmp?

2024-12-09 13:30 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

+

Проверьте ЛС.

[DeepX]

на ex0 в папке c:\temp нет такого файла. Скрин вот