Перейти к содержанию

elpaco-team шифровальщик, просит выкуп


Рекомендуемые сообщения

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
() [Файл не подписан] C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Z0BAZwxx\uu.exe <2>
HKLM-x32\...\Run: [uu.exe] => C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Z0BAZwxx\uu.exe [102912 2020-09-08] () [Файл не подписан]
HKLM\...\Run: [svhostss.exe] => C:\Users\systema$\AppData\Local\Decryption_INFO.txt [927 2024-06-28] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
HKU\S-1-5-21-1058425139-1518313359-263183337-1000\...\MountPoints2: {5866e2c9-f862-11e6-8f8a-806e6f6e6963} - E:\AutoRun\AutoRunX\AutoRunX.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\001\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\002\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-06-28 00:43 - 2024-06-28 02:49 - 000000000 ____D C:\Users\systema$\AppData\Roaming\Process Hacker 2
2024-06-28 00:41 - 2024-06-28 02:49 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-06-28 00:41 - 2024-06-28 00:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-06-28 03:13 - 2022-06-15 03:00 - 000000000 __SHD C:\Users\systema$\AppData\Local\B030C116-A730-AE91-0CE4-073B07B52D85
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

по результату очистки в Fixlog:

этот файл проверьте на Virustotal.com и дайте ссылку здесь на линк проверки.

Цитата

C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Z0BAZwxx\uu.exe

 

 

Fixlog.txt

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

2 hours ago, Раис888888 said:

5b5bcca2297610db487a26d811cf01ee78128c91c9ba9bf838a24924e0e20e6b

Kaspersky Backdoor.Win32.Androm.lctq

файл можно  вручную удалить, он был исключен из автозапуска.

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Ссылка на комментарий
Поделиться на другие сайты

По очистке в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.

 

;uVS v4.15.7v [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\1CV8\8.3.20.1613\BIN\HTMLUI.DLL
zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
dirzooex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
deldirex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
apply
czoo
restart

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новый образ автозапуска для контроля.

Возможно, какой то хитрый бэкдор, маскирует свой путь.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE [2152]

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

по логу выполнения скрипта:

 

Цитата

Копирование файла в Zoo: \\?\C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
Файл скопирован в ZOO: D:\ВОССТАНОВЛ\НОВЫЙ КАТАЛОГ\ZOO\UU.EXE._DCC4F2724D5FBEA767435CD6D9CD7788E1EB4C1F
dirzooex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
Копирование файла в Zoo: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\uu.exe
delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
deldirex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
--------------------------------------------------------
Удалено файлов: 1 из 1

 

бэкдор зачистился, в новом образе его уже нет.

 

Выполните рекомендации по защите системы от новых атак шифровальщиков.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • DeepX
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
×
×
  • Создать...