Перейти к содержанию

Нужна помощь с шифровальщиком elpaco-team


Рекомендуемые сообщения

05.07.2024 в нашем домене был создан доменный админ fttp1, с помощью которого (предположительно) злоумышленники получили доступ к группе наших серверов и 06.07.2024 вечером начали шифровать все файлы, на всех доменных серверах, до которых дотянулись, кроме файлов ОС и батников (*.cmd и *.bat). Среди зашифрованных файлов есть стандартные обработки 1С, приложил вместе с зашифрованными файлами оригиналы.
Буду рад любому совету.

FRST.txt Зашифровано.zip Зашифровано.zip Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
() [Файл не подписан] C:\Users\fttp1\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\gui40.exe
HKLM\...\Run: [svhostss.exe] => C:\Users\fttp1\AppData\Local\Decryption_INFO.txt [945 2024-07-06] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2021-11-09]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-06 00:46 - 2024-07-06 01:05 - 000000000 ____D C:\Users\fttp1\AppData\Roaming\Process Hacker 2
2024-07-06 00:44 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
2024-07-06 00:44 - 2024-07-06 04:01 - 000000945 _____ C:\Users\fttp1\AppData\Local\Decryption_INFO.txt
2024-07-06 00:31 - 2024-07-06 01:05 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-06 00:31 - 2024-07-06 00:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\ProgramData\IObit
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\Program Files (x86)\IObit
2024-07-06 04:06 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\fttp1\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Цитата

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Fixlog.txt

Fixlog.txt

 

ACLSERV-DEV_2024-07-07_17-43-36_v4.15.7v.7z
Образ автозапуска

У меня несколько серверов в данный момент поражены, если я хочу скриптом в FRST очистить все серверы, то я могу как-то сделать это сам, или мне нужно будет файлы FRST.txt и Addition.txt от каждого вам прислать?

Ссылка на комментарий
Поделиться на другие сайты

Лучше по каждому серверу добавить, можно в этой теме логи FRST, затем для контроля - образ автозапуска.

Но лучше по порядку - не все сразу постить в этой теме. Почистили один, затем следующий, и т.д.

===========

по первому серверу все ок, за исключением этого файла:

F:\UPDATE_ACL20V8.CMD  - ваш файл?

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Да, F:\UPDATE_ACL20V8.CMD наш файл, это батник для обновления базы 1С.
Можно скидывать FRST.txt и Addition.txt от следующего сервера? Примеры зашифрованных файлов нужны в данном случае?

Ссылка на комментарий
Поделиться на другие сайты

Примеры и записка уже не нужны, понятно, что в каждой записке будет свой код, но тип шифровальщика мы уже определили, только почистим остальные сервера.

Цитата

Можно скидывать FRST.txt и Addition.txt от следующего сервера?

да,

Цитата

Примеры зашифрованных файлов нужны в данном случае?

не надо.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

 

По второму серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\av_khuzu\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Образ автозапуска не нужен.

 

Можно логи по следующему серверу постить.

Ссылка на комментарий
Поделиться на другие сайты

По третьему серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте так же образ автозапуска системы в uVS.

Ссылка на комментарий
Поделиться на другие сайты

По 4 серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

 

Ссылка на комментарий
Поделиться на другие сайты

Образ uvs от третьего сервера, не прочитал сразу, что он был нужен.

ACROSSDC1_2024-07-08_09-35-39_v4.15.7v.7z

Fixlog.txt - Fixlog от четвёртого сервера
От остальных серверов пока что собираем логи FRST

 

Результаты сканирования на пятом сервере

Addition.txt FRST.txt

 

Результаты сканирования на шестом сервере

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

По 5 серверу:

Здесь все чисто, нет следов шифрования. Или уже были очищены сканерами от Дрвеб и ЛК. (kvrt)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • DeepX
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
×
×
  • Создать...