Перейти к содержанию

elpaco-team можно ли самостоятельно решить проблему?


Рекомендуемые сообщения

08.07.2024 в 15:55, МАН сказал:

С ним хотелось решить проблему в первую очередь. Спасибо!

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее

 

Start::
HKLM\...\Run: [svhostss] => C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe [0 0000-00-00] () [Доступ не разрешён]
HKLM\...\Run: [svhostss.exe] => C:\Users\amelnikov\AppData\Local\Decryption_INFO.txt [945 2024-07-08] () [Файл не подписан]
HKLM Group Policy restriction on software: C:\WINDOWS\DEBUG\OK.DAT <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-07-08 09:18 - 2024-07-08 09:18 - 000000945 _____ C:\Users\Администратор\AppData\Local\Decryption_INFO.txt
2024-07-07 22:45 - 2024-07-07 22:45 - 000000945 _____ C:\Users\amelnikov\Desktop\Decryption_INFO.txt
2024-07-07 15:36 - 2024-07-07 19:12 - 000000000 ____D C:\Users\amelnikov\AppData\Roaming\Process Hacker 2
2024-07-07 15:33 - 2024-07-08 09:34 - 000000945 _____ C:\Users\amelnikov\AppData\Local\Decryption_INFO.txt
2024-07-07 15:31 - 2024-07-08 09:34 - 000000945 _____ C:\Decryption_INFO.txt
2024-07-07 15:28 - 2024-07-07 22:43 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-07 15:28 - 2024-07-07 16:58 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
Unlock: C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
Unlock: C:\Users\Администратор\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-08 09:36 - 2023-04-17 05:48 - 000000000 __SHD C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-08 09:33 - 2022-03-10 06:02 - 000000000 __SHD C:\Users\Администратор\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Цитата

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке в UVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без системы.

;uVS v4.15.7v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 26
regt 25
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT

После завершения работы uVS:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Ссылка на комментарий
Поделиться на другие сайты

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

_

проверьте ЛС

Ссылка на комментарий
Поделиться на другие сайты

Учетная запись служебная?

Цитата

xyz (S-1-5-21-722250804-2623365691-558775560-1058 - Administrator - Enabled) => C:\Users\xyz

 

по очистке:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, ,без перезагрузки

Start::
2024-07-09 06:40 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

MIMIC_log из папки c:\temp довольно интересный, с подробным описанием процесса атаки шифрованием

[14:59:35] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe" -e watch -pid 5508 -!  (pid:24512)

 

и судя по логу они успели выполнить всю свою программу:


 

Цитата

 

[18:03:11] [+] Command execution completed.
[18:03:11] [+] Success run: notepad.exe "C:\Users\AMelnikov\AppData\Local\Decryption_INFO.txt" (pid:9888)
[18:03:12] [*] Cleaning disk space...
[18:03:12] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\xdel.exe" -accepteula -p 1 -c C:\ (pid:28900)
[18:03:12] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\xdel.exe" -accepteula -p 1 -c D:\ (pid:21304)
[18:03:12] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\xdel.exe" -accepteula -p 1 -c E:\ (pid:12376)
[01:50:52] [*] Work finished.
[01:50:52] [*] CleanUp.
[01:50:52] [+] Success run: wevtutil.exe cl security (pid:1208)
[01:50:52] [+] Success run: wevtutil.exe cl system (pid:27300)
[01:50:52] [+] Success run: wevtutil.exe cl application (pid:13864)
[01:50:52] [*] Kill watcher
[01:50:52] [*] Self del
[01:50:52] [+] Success run: cmd.exe /d /c "ping 127.2 -n 5 & fsutil file setZeroData offset=0 length=20000000 "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe" & cd /d "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A" & Del /f /q /a *.exe *.ini *.dll *.bat *.db" (pid:10788)
[01:50:52] Closing...

 


 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Ну таки да! Одну машину я сумел почистить самостоятельно. Собственный комп. Но там поражены были только общие ресурсы. А все остальное ждало своего часа в заданиях таск менеджера. Могу прислать сам экзешник elpacoteam.exe для изучения.

Ссылка на комментарий
Поделиться на другие сайты

18 часов назад, МАН сказал:

А все остальное ждало своего часа в заданиях таск менеджера. Могу прислать сам экзешник elpacoteam.exe для изучения.

А что там было в задачах? Файл пришлите, пожалуйста,  в архиве, с паролем virus, по ссылке на облачный диск, через ЛС.

Ссылка на комментарий
Поделиться на другие сайты

13 часов назад, safety сказал:

А что там было в задачах? Файл пришлите, пожалуйста,  в архиве, с паролем virus, по ссылке на облачный диск, через ЛС.

Четко не заострял внимание. Грохнул все задачи в запаре и все. Возможно был запуск экзешника elpaco-team с рабочего стола созданного батником пользователя. Экзешник выслал в личку.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • DeepX
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • Эдуард Autofresh
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
    • Anix
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
×
×
  • Создать...