Перейти к содержанию

Нужна помощь с шифровальщиком elpaco-team


Рекомендуемые сообщения

05.07.2024 в нашем домене был создан доменный админ fttp1, с помощью которого (предположительно) злоумышленники получили доступ к группе наших серверов и 06.07.2024 вечером начали шифровать все файлы, на всех доменных серверах, до которых дотянулись, кроме файлов ОС и батников (*.cmd и *.bat). Среди зашифрованных файлов есть стандартные обработки 1С, приложил вместе с зашифрованными файлами оригиналы.
Буду рад любому совету.

FRST.txt Зашифровано.zip Зашифровано.zip Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
() [Файл не подписан] C:\Users\fttp1\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\gui40.exe
HKLM\...\Run: [svhostss.exe] => C:\Users\fttp1\AppData\Local\Decryption_INFO.txt [945 2024-07-06] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2021-11-09]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-06 00:46 - 2024-07-06 01:05 - 000000000 ____D C:\Users\fttp1\AppData\Roaming\Process Hacker 2
2024-07-06 00:44 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
2024-07-06 00:44 - 2024-07-06 04:01 - 000000945 _____ C:\Users\fttp1\AppData\Local\Decryption_INFO.txt
2024-07-06 00:31 - 2024-07-06 01:05 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-06 00:31 - 2024-07-06 00:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\ProgramData\IObit
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\Program Files (x86)\IObit
2024-07-06 04:06 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\fttp1\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Цитата

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Fixlog.txt

Fixlog.txt

 

ACLSERV-DEV_2024-07-07_17-43-36_v4.15.7v.7z
Образ автозапуска

У меня несколько серверов в данный момент поражены, если я хочу скриптом в FRST очистить все серверы, то я могу как-то сделать это сам, или мне нужно будет файлы FRST.txt и Addition.txt от каждого вам прислать?

Ссылка на комментарий
Поделиться на другие сайты

Лучше по каждому серверу добавить, можно в этой теме логи FRST, затем для контроля - образ автозапуска.

Но лучше по порядку - не все сразу постить в этой теме. Почистили один, затем следующий, и т.д.

===========

по первому серверу все ок, за исключением этого файла:

F:\UPDATE_ACL20V8.CMD  - ваш файл?

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Да, F:\UPDATE_ACL20V8.CMD наш файл, это батник для обновления базы 1С.
Можно скидывать FRST.txt и Addition.txt от следующего сервера? Примеры зашифрованных файлов нужны в данном случае?

Ссылка на комментарий
Поделиться на другие сайты

Примеры и записка уже не нужны, понятно, что в каждой записке будет свой код, но тип шифровальщика мы уже определили, только почистим остальные сервера.

Цитата

Можно скидывать FRST.txt и Addition.txt от следующего сервера?

да,

Цитата

Примеры зашифрованных файлов нужны в данном случае?

не надо.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

 

По второму серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\av_khuzu\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Образ автозапуска не нужен.

 

Можно логи по следующему серверу постить.

Ссылка на комментарий
Поделиться на другие сайты

По третьему серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте так же образ автозапуска системы в uVS.

Ссылка на комментарий
Поделиться на другие сайты

По 4 серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

 

Ссылка на комментарий
Поделиться на другие сайты

Образ uvs от третьего сервера, не прочитал сразу, что он был нужен.

ACROSSDC1_2024-07-08_09-35-39_v4.15.7v.7z

Fixlog.txt - Fixlog от четвёртого сервера
От остальных серверов пока что собираем логи FRST

 

Результаты сканирования на пятом сервере

Addition.txt FRST.txt

 

Результаты сканирования на шестом сервере

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

По 5 серверу:

Здесь все чисто, нет следов шифрования. Или уже были очищены сканерами от Дрвеб и ЛК. (kvrt)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Malsim
      От Malsim
      Добрый день!
       
      Прошу помощи с шифровальщиком-вымогателем ELPACO.
       
      Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении. 
       
      Заранее спасибо!
       
      Virus.rar
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
    • Эдуард Autofresh
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
    • nikitapatek
      От nikitapatek
      Здравствуйте. 
       
      Поймали вирус - шифровальщик, elpaco team.  Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение. 
       
      В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя.  Хотя RDP так же с выходом в сеть имелся на данной машине.  Но под основного пользователя вроде бы как не заходили по RDP.
       
      В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк. 
      А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки.  Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения.  Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
       
      Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д. 
      Их приложил в архив шифровальщик.zip , пароль virus.
       
      Ну и несколько образцов зараженных файлов соответствующий архив.
       
       
      Логи по инструкции так же приложил.
       
       
       
      шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
×
×
  • Создать...