proxima Меня атаковал шировальщик elons

[Dima.M]

Здрастуйте меня атаковал шифровальщик  elons,  письмо и пример фай прилагаю.

Desktop.rarПолучение информации...

[safety]

Добавьте так же логи анализа системы при помощи Farbar Recovery Scan Tool.

[Dima.M]

Addition.txtПолучение информации... FRST.txtПолучение информации...

[safety]

Выполните скрипт очистки системы

 

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] Elons Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find Elons_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2025-01-25 06:10 - 2025-01-25 06:10 - 007372854 _____ C:\ProgramData\43.mp
2025-01-25 02:32 - 2025-01-25 02:32 - 000000910 _____ C:\Elons_Help.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Dima.M]

если я это сделаю, то с очень большой вероятностью данные не верну. Есть другие варианты?

[safety]

Если помощь в очистке системы не нужна, напишите об этом, я закрою тему.

С расшифровкой по данному типу шифровальщика не сможем помочь.

[Dima.M]

расшифровать я так понимаю  у касперского возможности нет?

 

[safety]

Расшифровка ваших файлов возможна только при наличие приватного ключа, который изначально есть только у злоумышленников.

 

Обратите внимание:
 

  Цитата

 

к Вам могут обратиться с предложением о помощи в расшифровке:

• если предлагают готовое решение с вашим приватным ключом, тогда это злоумышленники (ключ хранится у них);
• если предлагают решение: расшифровать бесплатно несколько ваших файлов, не содержащих очень важной для Вас информации (как доказательство своих возможностей), а остальное - только за Ваши деньги, то это могут быть посредники, которые (часто) в доле со злоумышленниками и покупают у них дешифратор для Ваших файлов (с наваром для себя конечно же, даже ценник от злоумышленников будет гораздо меньше).

В обоих случаях основной риск - после получения оплаты как злоумышленники, так и посредники просто исчезают из чата или контакта, не выходят на связь либо вообще присылают неработающий дешифратор. Тогда они автоматически переквалифицируются в мошенников.

 

Показать  

 

Изменено 29 января пользователем safety

[Dima.M]

Подскажите как обезопаситься от подобных ситуаций, помимо резерных копий? есть ли програмы выявляющие это?

 

Изменено 29 января пользователем safety

[safety]

  В 29.01.2025 в 08:47, Dima.M сказал:

Подскажите как обезопаситься от подобных ситуаций, помимо резерных копий? есть ли програмы выявляющие это?

 

Показать  

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

------------

т.е. меры здесь комплексные необходимы: иметь надежные бэкапы, хранить бэкапы в защищенном месте, защитить систему от запуска вредоносных программ, которые могут быть запущены некомпетентными сотрудниками, защитить систему от проникновения злоумышленников из внешней сети, которые могут убить бэкапы, отключить антивирусную защиту и запустить шифрование.

Изменено 29 января пользователем safety