Перейти к содержанию

Нужна помощь с шифровальщиком elpaco-team


Рекомендуемые сообщения

Айдар Шарипов

05.07.2024 в нашем домене был создан доменный админ fttp1, с помощью которого (предположительно) злоумышленники получили доступ к группе наших серверов и 06.07.2024 вечером начали шифровать все файлы, на всех доменных серверах, до которых дотянулись, кроме файлов ОС и батников (*.cmd и *.bat). Среди зашифрованных файлов есть стандартные обработки 1С, приложил вместе с зашифрованными файлами оригиналы.
Буду рад любому совету.

FRST.txt Зашифровано.zip Зашифровано.zip Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
() [Файл не подписан] C:\Users\fttp1\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\gui40.exe
HKLM\...\Run: [svhostss.exe] => C:\Users\fttp1\AppData\Local\Decryption_INFO.txt [945 2024-07-06] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2021-11-09]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-06 00:46 - 2024-07-06 01:05 - 000000000 ____D C:\Users\fttp1\AppData\Roaming\Process Hacker 2
2024-07-06 00:44 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
2024-07-06 00:44 - 2024-07-06 04:01 - 000000945 _____ C:\Users\fttp1\AppData\Local\Decryption_INFO.txt
2024-07-06 00:31 - 2024-07-06 01:05 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-06 00:31 - 2024-07-06 00:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\ProgramData\IObit
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\Program Files (x86)\IObit
2024-07-06 04:06 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\fttp1\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Цитата

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Айдар Шарипов

Fixlog.txt

Fixlog.txt

 

ACLSERV-DEV_2024-07-07_17-43-36_v4.15.7v.7z
Образ автозапуска

У меня несколько серверов в данный момент поражены, если я хочу скриптом в FRST очистить все серверы, то я могу как-то сделать это сам, или мне нужно будет файлы FRST.txt и Addition.txt от каждого вам прислать?

Ссылка на сообщение
Поделиться на другие сайты

Лучше по каждому серверу добавить, можно в этой теме логи FRST, затем для контроля - образ автозапуска.

Но лучше по порядку - не все сразу постить в этой теме. Почистили один, затем следующий, и т.д.

===========

по первому серверу все ок, за исключением этого файла:

F:\UPDATE_ACL20V8.CMD  - ваш файл?

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Айдар Шарипов

Да, F:\UPDATE_ACL20V8.CMD наш файл, это батник для обновления базы 1С.
Можно скидывать FRST.txt и Addition.txt от следующего сервера? Примеры зашифрованных файлов нужны в данном случае?

Ссылка на сообщение
Поделиться на другие сайты

Примеры и записка уже не нужны, понятно, что в каждой записке будет свой код, но тип шифровальщика мы уже определили, только почистим остальные сервера.

Цитата

Можно скидывать FRST.txt и Addition.txt от следующего сервера?

да,

Цитата

Примеры зашифрованных файлов нужны в данном случае?

не надо.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

 

По второму серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\av_khuzu\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Образ автозапуска не нужен.

 

Можно логи по следующему серверу постить.

Ссылка на сообщение
Поделиться на другие сайты

По третьему серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте так же образ автозапуска системы в uVS.

Ссылка на сообщение
Поделиться на другие сайты

По 4 серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

 

Ссылка на сообщение
Поделиться на другие сайты
Айдар Шарипов

Образ uvs от третьего сервера, не прочитал сразу, что он был нужен.

ACROSSDC1_2024-07-08_09-35-39_v4.15.7v.7z

Fixlog.txt - Fixlog от четвёртого сервера
От остальных серверов пока что собираем логи FRST

 

Результаты сканирования на пятом сервере

Addition.txt FRST.txt

 

Результаты сканирования на шестом сервере

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

По 5 серверу:

Здесь все чисто, нет следов шифрования. Или уже были очищены сканерами от Дрвеб и ЛК. (kvrt)

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Эдуард Autofresh
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
    • Anix
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
×
×
  • Создать...