От
nikitapatek
Здравствуйте.
Поймали вирус - шифровальщик, elpaco team. Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение.
В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя. Хотя RDP так же с выходом в сеть имелся на данной машине. Но под основного пользователя вроде бы как не заходили по RDP.
В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк.
А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки. Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения. Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д.
Их приложил в архив шифровальщик.zip , пароль virus.
Ну и несколько образцов зараженных файлов соответствующий архив.
Логи по инструкции так же приложил.
шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
Рекомендуемые сообщения