От
Random898
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
От Forrestem
В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
Addition.txt FRST.txt
-
От Malsim
Добрый день!
Прошу помощи с шифровальщиком-вымогателем ELPACO.
Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении.
Заранее спасибо!
Virus.rar
-
От Шустов А.В.
Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
Файлы ELPACO-team.ZIP Addition.txt FRST.txt
-
От nikitapatek
Здравствуйте.
Поймали вирус - шифровальщик, elpaco team. Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение.
В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя. Хотя RDP так же с выходом в сеть имелся на данной машине. Но под основного пользователя вроде бы как не заходили по RDP.
В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк.
А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки. Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения. Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д.
Их приложил в архив шифровальщик.zip , пароль virus.
Ну и несколько образцов зараженных файлов соответствующий архив.
Логи по инструкции так же приложил.
шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
-
От arx
Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.
Addition.txt FRST.txt Требования.txt Скрины.rar
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти