Перейти к содержанию

Нужна помощь с шифровальщиком elpaco-team


Рекомендуемые сообщения

Айдар Шарипов

05.07.2024 в нашем домене был создан доменный админ fttp1, с помощью которого (предположительно) злоумышленники получили доступ к группе наших серверов и 06.07.2024 вечером начали шифровать все файлы, на всех доменных серверах, до которых дотянулись, кроме файлов ОС и батников (*.cmd и *.bat). Среди зашифрованных файлов есть стандартные обработки 1С, приложил вместе с зашифрованными файлами оригиналы.
Буду рад любому совету.

FRST.txt Зашифровано.zip Зашифровано.zip Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
() [Файл не подписан] C:\Users\fttp1\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\gui40.exe
HKLM\...\Run: [svhostss.exe] => C:\Users\fttp1\AppData\Local\Decryption_INFO.txt [945 2024-07-06] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2021-11-09]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-06 00:46 - 2024-07-06 01:05 - 000000000 ____D C:\Users\fttp1\AppData\Roaming\Process Hacker 2
2024-07-06 00:44 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
2024-07-06 00:44 - 2024-07-06 04:01 - 000000945 _____ C:\Users\fttp1\AppData\Local\Decryption_INFO.txt
2024-07-06 00:31 - 2024-07-06 01:05 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-06 00:31 - 2024-07-06 00:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\ProgramData\IObit
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\Program Files (x86)\IObit
2024-07-06 04:06 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\fttp1\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Цитата

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Айдар Шарипов

Fixlog.txt

Fixlog.txt

 

ACLSERV-DEV_2024-07-07_17-43-36_v4.15.7v.7z
Образ автозапуска

У меня несколько серверов в данный момент поражены, если я хочу скриптом в FRST очистить все серверы, то я могу как-то сделать это сам, или мне нужно будет файлы FRST.txt и Addition.txt от каждого вам прислать?

Ссылка на сообщение
Поделиться на другие сайты

Лучше по каждому серверу добавить, можно в этой теме логи FRST, затем для контроля - образ автозапуска.

Но лучше по порядку - не все сразу постить в этой теме. Почистили один, затем следующий, и т.д.

===========

по первому серверу все ок, за исключением этого файла:

F:\UPDATE_ACL20V8.CMD  - ваш файл?

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Айдар Шарипов

Да, F:\UPDATE_ACL20V8.CMD наш файл, это батник для обновления базы 1С.
Можно скидывать FRST.txt и Addition.txt от следующего сервера? Примеры зашифрованных файлов нужны в данном случае?

Ссылка на сообщение
Поделиться на другие сайты

Примеры и записка уже не нужны, понятно, что в каждой записке будет свой код, но тип шифровальщика мы уже определили, только почистим остальные сервера.

Цитата

Можно скидывать FRST.txt и Addition.txt от следующего сервера?

да,

Цитата

Примеры зашифрованных файлов нужны в данном случае?

не надо.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

 

По второму серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\av_khuzu\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Образ автозапуска не нужен.

 

Можно логи по следующему серверу постить.

Ссылка на сообщение
Поделиться на другие сайты

По третьему серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте так же образ автозапуска системы в uVS.

Ссылка на сообщение
Поделиться на другие сайты

По 4 серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

 

Ссылка на сообщение
Поделиться на другие сайты
Айдар Шарипов

Образ uvs от третьего сервера, не прочитал сразу, что он был нужен.

ACROSSDC1_2024-07-08_09-35-39_v4.15.7v.7z

Fixlog.txt - Fixlog от четвёртого сервера
От остальных серверов пока что собираем логи FRST

 

Результаты сканирования на пятом сервере

Addition.txt FRST.txt

 

Результаты сканирования на шестом сервере

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • dtropinin
      От dtropinin
      Здравствуйте специалисты.
      вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
      выключил быстро комп.
      в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
      Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
      Диск E - вообще не пострадал.
      Диск М - вообще не пострадал.
      На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
      Одна из них - Win7.
      На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
      Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
      Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
      ---------------------------------------
      В системе установлена служба.
      Имя службы:  KProcessHacker3
      Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
      Тип службы:  драйвер режима ядра
      Тип запуска службы:  Вручную
      Учетная запись службы: 
      ---------------------------------------
      далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
       
      Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
      так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
       
       
       
       
       

    • KIART
      От KIART
      Добрый день! 11.07.24 мой сервер атаковал вирус-шифровальщик. При включении сервера появляется текст от злоумышленников с требованием перевести биткоины в замен на ключ для расшифровки. Сейчас необходимый файл бэкап вяглядит так: Resto.bak.gz.ELPACO-team. Обращался в две организации, которые занимаются расшифровкой, обе ответили что расшифровать не могут, тип шифрования новый, решения пока нет. Подскажите, сталкивался ли кто-то недавно с такой проблемой, может уже есть неопубликованное решение? 
    • Алексей1977
      От Алексей1977
      Добрый день! В принципе в заголовке все описал. Хотел поинтересоваться, был ли у кого положительный опыт в расшифровке этих файлов?
    • Алексей Красный Ключ
      От Алексей Красный Ключ
      Добрый день!
      Шифровальщик зашифровал файлы с расширением ELPACO-team
      Определить шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      Decryption_INFO.zip
    • zummer900
      От zummer900
      Добрый день.
      В ночь и нас накрыли данные ребята. 
      Прекрасно понимаю что расшифровать нельзя. Зашифровали все .exe файлы. То есть система под снос. 
       
      Вопрос как понять откуда пошло ?
      Как вычислить на других машинах ?
       
       
      парк тачек большой. По RDP на ружу смотрела пару машин. Но не с одной из них доступа к серверам 1с не было, но он тоже лег. Внутри локалки в 1с ходят по RDP....думаю в этом и причина. 
      Зашифрованы и сетевые папки по самбе. Файловая помойка на линуксе OMV. На ней поднята самба и расшарены файлы.
       
      Addition.txt Decryption_INFO.txt FRST.txt filevirus.rar
×
×
  • Создать...