Перейти к содержанию
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Расшифровка файлов

Woodgoblin
 Share Подписчики 0

Рекомендуемые сообщения

Woodgoblin

Woodgoblin 0

Опубликовано
Опубликовано (изменено)

CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txtДень добрый.

Сегодня все файлы на компе оказались зашифрованными.

К файлом добавилась запись

NESCELKAIEBALOM

при попытке открытия выходит

photo_2024-03-26_09-08-39.thumb.jpg.423c1d03d500104d16686207199941ea.jpg

 

Можете помочь?

 

Изменено пользователем Woodgoblin
Добавление файла сообщения
Ссылка на сообщение
Поделиться на другие сайты
Woodgoblin

Woodgoblin 0

Опубликовано
  • Автор
Опубликовано
15 минут назад, Woodgoblin сказал:

CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txtДень добрый.

Сегодня все файлы на компе оказались зашифрованными.

К файлом добавилась запись

NESCELKAIEBALOM

при попытке открытия выходит

photo_2024-03-26_09-08-39.thumb.jpg.423c1d03d500104d16686207199941ea.jpg

 

Можете помочь?

 

 

data.txt.NESCHELKAIEBALOM.txt

Только что, Woodgoblin сказал:

 

data.txt.NESCHELKAIEBALOM.txt 173 B · 0 загрузок

 

CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt

Ссылка на сообщение
Поделиться на другие сайты
Woodgoblin

Woodgoblin 0

Опубликовано
  • Автор
Опубликовано

Addition.txt FRST.txt

 

До этого неполные данные были, извините

Addition.txt FRST.txt

 

9 часов назад, safety сказал:

при создании логов FRST следуйте этой инструкции, утилита сама соберет в лог все что надо для анализа.

Приложил. Посмотрите, пожалуйста

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано

(C:\Users\Woodgoblin\Downloads\xoristdecryptor.exe ->) (Kaspersky Lab -> Kaspersky Lab AO) C:\Users\Woodgoblin\AppData\Local\Temp\{06256F54-FEF7-460C-938B-8F1BE58B8F8F}\{F1789138-C494-4838-953B-AE2E4153B52C}.exe
Xoristdecryptor не поможет, это другой тип шифровальщика: Mimic/N3Wwwv43

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

  

Start::
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] ￐゚￑タ￐ᄌ￐ᄇ￐ᄉ￑ツ￑チ￑ツ￐ᄇ￑テ￑ホ
IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-03-26 07:58 - 2021-12-05 05:29 - 000000000 __SHD C:\Users\Woodgoblin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

 

+

 

сделайте образ автозапуска системы в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Woodgoblin

Woodgoblin 0

Опубликовано
  • Автор
Опубликовано (изменено)

Пароль поставить не получилось, архиватор заблокирован

Fixlog.txt DESKTOP-NV7O2J6_2024-03-26_12-04-55_v4.15.1.7z

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано (изменено)

Хорошо, образ  автозапуска проверю чуть позже.

Файл Quarantine пробуйте добавить в архив rar или 7z, так как он содержит вредоносные тела, хотя и с модифицированным расширением. + этот файл (с паролем virus) затем загрузите на облачный диск и дайте ссылку в ЛС (личные сообщения). Отсюда файл будет удален.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано (изменено)

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

Скрипт ниже:


  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BRAVESOFTWARE\UPDATE\BRAVEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\EASYTUNEENGINESERVICE\GRAPHICSCARDENGINESTARTER.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\OFFICEBACKGROUNDTASKHANDLER.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOIA.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\SIV\THERMALD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STARTISBACK\STARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\VTUNER\VTUNER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR.EXE
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\BRAVE.EXE
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWARE-TRAY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\LIGHTSHOT\LIGHTSHOT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\ANYDESK\ANYDESK.EXE
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\CCG.EXE
delref %SystemDrive%\APP\NODE.JS\NODE.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER ADVANCED THREAT PROTECTION\SENSEIR.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER ADVANCED THREAT PROTECTION\MSSENSE.EXE
delref %SystemRoot%\KMSAUTOS
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\123.1.64.109\INSTALLER\CHRMSTP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\123.1.64.109\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\EASYTUNEENGINESERVICE\EASYTUNEENGINESERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\APPCENTER\ADJUSTSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\GSERVICE\GCLOUD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\SIV\HWMRECORDSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\EASYTUNEENGINESERVICE\OCBUTTONSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWARE-HOSTD.EXE
delref D:\AUTORUN.EXE
delref D:\SETUP.EXE
delref %SystemDrive%\USERS\WOODGOBLIN\APPDATA\LOCAL\DISCORD\UPDATE.EXE
delref %SystemDrive%\USERS\WOODGOBLIN\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON38-32\PYTHONW.EXE
delref %SystemDrive%\USERS\WOODGOBLIN\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON38-32\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\WOODGOBLIN\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON38-32\PYTHON.EXE
delref %SystemDrive%\USERS\WOODGOBLIN\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON38-32\DOC\PYTHON380.CHM
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\TOTALCMD64.EXE
delref %SystemDrive%\PROGRAM FILES\WONDERSHARE\RECOVERIT\RECOVERITASSIST.EXE
delref %SystemDrive%\PROGRAM FILES\XNVIEWMP\XNVIEWMP.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\EXCEL.EXE
delref %SystemDrive%\PROGRAM FILES\PLSQL DEVELOPER 12\PLSQLDEV.EXE
delref %SystemDrive%\PROGRAM FILES\PLSQL DEVELOPER 13\PLSQLDEV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\ACRORD32.EXE
delref %SystemDrive%\PROGRAM FILES\CPUID\CPU-Z GIGABYTE\CPUZ.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PETER-SERVICE\CRM_CMS\CMS_ADMIN\CRM_ADMIN.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\GOOGLE EARTH PRO\CLIENT\GOOGLEEARTH.EXE
delref %SystemDrive%\PROGRAM FILES\JETBRAINS\PYCHARM 2019.2\BIN\PYCHARM64.EXE
delref %SystemDrive%\PROGRAM FILES\OBS-STUDIO\BIN\64BIT\OBS64.EXE
delref %SystemDrive%\OLDNEWEXPLORER\OLDNEWEXPLORERCFG.EXE
delref %SystemDrive%\PROGRAM FILES\PLSQL DEVELOPER 15\PLSQLDEV.EXE
delref %SystemDrive%\PROGRAM FILES\SPECCY\SPECCY64.EXE
delref %SystemDrive%\PROGRAM FILES\QUEST SOFTWARE\TOAD FOR ORACLE 2018 R2 EDITION\SPOTLIGHT FOR ORACLE 10.7\CONSOLE\SPOTLIGHT.EXE
delref %SystemDrive%\PROGRAM FILES\QUEST SOFTWARE\TOAD FOR ORACLE 2018 R2 EDITION\TOAD DATA MODELER 6.5\BIN\TDM.EXE
delref %SystemDrive%\PROGRAM FILES\QUEST SOFTWARE\TOAD FOR ORACLE 2018 R2 EDITION\TOAD FOR ORACLE 13.1\TOAD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWARE.EXE
delref %SystemDrive%\PROGRAM FILES\JETBRAINS\WEBSTORM 2020.1\BIN\WEBSTORM64.EXE
;-------------------------------------------------------------
QUIT

 

 

 

По расшифровке данного типа шифровальщика, к сожалению, не сможем помочь без приватного ключа.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано

Не должно быть ошибки. Вы скрипт копируете в буфер обмена непосредственно на зашифрованном ПК или переносите на другую машину? Пробуйте внимательно еще раз скопировать все строки в буфер обмена.

Ссылка на сообщение
Поделиться на другие сайты
Woodgoblin

Woodgoblin 0

Опубликовано
  • Автор
Опубликовано
4 часа назад, safety сказал:

Не должно быть ошибки. Вы скрипт копируете в буфер обмена непосредственно на зашифрованном ПК или переносите на другую машину? Пробуйте внимательно еще раз скопировать все строки в буфер обмена.

Выдает ошибку

srcipt.txt

 

Копирую непосредственно с пострадавшего компа

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано (изменено)

согласен, есть ошибочная строка в файлике.

ЙГШЕdelref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\EASYTUNEENGINESERVICE\OCBUTTONSERVICE.EXE

исправил в скрипте, убрал лишнее

ЙГШЕ

 

Невнимательно добавлял команду QUIT (вместо restart) (на русском раскладе ЙГШЕ) да еще и не в конец скрипта. И хвост остался.

Все остальные команды здесь созданы автоматически.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • dtropinin
      ELPACO-team шифровальщик.
      От dtropinin
      Здравствуйте специалисты.
      вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
      выключил быстро комп.
      в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
      Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
      Диск E - вообще не пострадал.
      Диск М - вообще не пострадал.
      На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
      Одна из них - Win7.
      На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
      Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
      Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
      ---------------------------------------
      В системе установлена служба.
      Имя службы:  KProcessHacker3
      Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
      Тип службы:  драйвер режима ядра
      Тип запуска службы:  Вручную
      Учетная запись службы: 
      ---------------------------------------
      далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
       
      Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
      так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
       
       
       
       
       

    • RQST
      Помощь по шифровальщику HEUR:Trojan-Ransom.Win32.Mimic.gen
      От RQST
      Добрый день!

      Прошу помощи с шифровальщиком mimic / elpaco. Поражена инфраструктура офиса.

      -----------

      Сообщение шифровальщика:

      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is D6F1UYsBfAD8vuYRO-7qBajEYC86q4SkUIPo7z8LpE0*ELPACO-team
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - de_tech@tuta.io
      2) Telegram - @Online7_365  or https://t.me/Online7_365
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.

      -----------

      Пароль на архивы - "virus" (без кавычек)

      root.zip - Файлы из корня диска, в том числе зашифрованные (расширение зашифрованных файлов - .ELPACO-team)
      temp.zip - временные файлы вируса
      F6A3737E-E3B0-8956-8261-0121C68105F3.zip - вирус (запуск через ветку реестра run) по ссылке https://disk.yandex.ru/d/dkHtydu6GhGFEA

      ----

      frst.zip и FS01-S-2024-07-21_09-25-57_v4.15.7v.7z - отчеты
      frst.zip root.zip temp.zip FS01-S-2024-07-21_09-25-57_v4.15.7v.7z
    • Алексей Красный Ключ
      Шифровальщик зашифровал файлы
      От Алексей Красный Ключ
      Добрый день!
      Шифровальщик зашифровал файлы с расширением ELPACO-team
      Определить шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      Decryption_INFO.zip
    • zummer900
      Попали на ELPACO-team
      От zummer900
      Добрый день.
      В ночь и нас накрыли данные ребята. 
      Прекрасно понимаю что расшифровать нельзя. Зашифровали все .exe файлы. То есть система под снос. 
       
      Вопрос как понять откуда пошло ?
      Как вычислить на других машинах ?
       
       
      парк тачек большой. По RDP на ружу смотрела пару машин. Но не с одной из них доступа к серверам 1с не было, но он тоже лег. Внутри локалки в 1с ходят по RDP....думаю в этом и причина. 
      Зашифрованы и сетевые папки по самбе. Файловая помойка на линуксе OMV. На ней поднята самба и расшарены файлы.
       
      Addition.txt Decryption_INFO.txt FRST.txt filevirus.rar
    • Сергей3300
      Нужна помощь с шифровальщиком elpaco team. Пожалуйста.
      От Сергей3300
      Добрый день прошу помощи в удалении шифровальщика и расшифровке файлов. Спасибо большое.
×
×
  • Создать...