Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, вирус зашифровал файлы на компьютере, все файлы переименовал *.ELPACO-team

Прошу помощи

Ссылка на сообщение
Поделиться на другие сайты

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [26] KVRT(1).exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [27] rkill.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-06-06 02:20 - 2024-06-06 07:16 - 000000945 _____ C:\Users\Maxim\AppData\Local\Decryption_INFO.txt
2024-06-06 02:20 - 2024-06-06 07:14 - 000000945 _____ C:\Decryption_INFO.txt
2024-06-06 07:18 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\Maxim\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-01-10 22:03 - 2024-01-10 22:03 - 000000440 _____ () C:\ProgramData\temp_Delete.bat
2024-01-10 22:03 - 2024-01-10 22:03 - 000000096 _____ () C:\ProgramData\temp_runbat.vbs
2024-06-06 02:20 - 2024-06-06 07:16 - 000000945 _____ () C:\Users\Maxim\AppData\Local\Decryption_INFO.txt
2022-10-25 12:59 C:\AdwCleaner
2022-10-25 12:59 C:\KVRT2020_Data
2022-10-25 12:59 C:\KVRT_Data
2022-10-25 12:59 C:\Program Files\AVAST Software
2022-10-25 12:59 C:\Program Files\AVG
2022-10-25 12:59 C:\Program Files\Bitdefender Agent
2022-10-25 12:59 C:\Program Files\ByteFence
2022-10-25 12:59 C:\Program Files\Cezurity
2022-10-25 12:59 C:\Program Files\COMODO
2022-10-25 12:59 C:\Program Files\DrWeb
2022-10-25 12:59 C:\Program Files\Enigma Software Group
2022-10-25 12:59 C:\Program Files\ESET
2022-10-25 12:59 C:\Program Files\Kaspersky Lab
2022-10-25 12:59 C:\Program Files\Loaris Trojan Remover
2022-10-25 12:59 C:\Program Files\Malwarebytes
2022-10-25 12:59 C:\Program Files\Process Lasso
2022-10-25 12:59 C:\Program Files\Rainmeter
2022-10-25 12:59 C:\Program Files\Ravantivirus
2022-10-25 12:59 C:\Program Files\SpyHunter
2022-10-25 12:59 C:\Program Files (x86)\360
2022-10-25 12:59 C:\Program Files (x86)\AVAST Software
2022-10-25 12:59 C:\Program Files (x86)\AVG
2022-10-25 12:59 C:\Program Files (x86)\Cezurity
2022-10-25 12:59 C:\Program Files (x86)\GRIZZLY Antivirus
2024-06-09 20:32 C:\Program Files (x86)\Kaspersky Lab
2022-10-25 12:59 C:\Program Files (x86)\Panda Security
2022-10-25 12:59 C:\Program Files (x86)\SpyHunter
2022-10-25 12:59 C:\Program Files (x86)\Transmission
2022-10-25 12:59 C:\WINDOWS\speechstracing
2023-06-08 19:57 C:\Program Files\Common Files\AV
2022-10-25 12:59 C:\Program Files\Common Files\Doctor Web
2022-10-25 12:59 C:\Program Files\Common Files\McAfee
2022-10-25 12:59 C:\ProgramData\360safe
2022-10-25 12:59 C:\ProgramData\AVAST Software
2022-10-25 12:59 C:\ProgramData\Avira
2022-10-25 12:59 C:\ProgramData\BookManager
2022-10-25 12:59 C:\ProgramData\Doctor Web
2022-10-25 12:59 C:\ProgramData\ESET
2022-10-25 12:59 C:\ProgramData\Evernote
2022-10-25 12:59 C:\ProgramData\FingerPrint
2022-10-25 12:59 C:\ProgramData\grizzly
2018-10-14 20:50 C:\ProgramData\Kaspersky Lab Setup Files
2022-10-25 12:59 C:\ProgramData\Malwarebytes
2022-10-25 12:59 C:\ProgramData\MB3Install
2019-08-25 12:18 C:\ProgramData\McAfee
2022-10-25 12:59 C:\ProgramData\Norton
2022-10-25 12:59 C:\ProgramData\PuzzleMedia
2022-10-25 12:59 C:\ProgramData\RobotDemo
2022-10-25 12:59 C:\ProgramData\WavePad
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

+

проверьте ЛС.

Ссылка на сообщение
Поделиться на другие сайты
Сообщение от модератора kmscom
Темы объединены

 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
13 minutes ago, Ezh85 said:

Могу я приложить свои файлы сюда для исследования, чтобы не плодить темы?

Как вы уже могли заметить, сваливание своих логов и файлов в чужой теме здесь не приветствуется.

Так что лучше плодите ваши темы и размножайте в них ваши логи и файлы.

  • Улыбнуло 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Alexey9009
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
    • bakanov
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
×
×
  • Создать...