Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!

Подверглись атаке шифровальщика от elpaco-team?

Как самостоятельно решить пролему?

Реально ли расшифровать файлы?

 

FRST.txt Addition.txt

Опубликовано (изменено)
08.07.2024 в 15:55, МАН сказал:

С ним хотелось решить проблему в первую очередь. Спасибо!

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее

 

Start::
HKLM\...\Run: [svhostss] => C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe [0 0000-00-00] () [Доступ не разрешён]
HKLM\...\Run: [svhostss.exe] => C:\Users\amelnikov\AppData\Local\Decryption_INFO.txt [945 2024-07-08] () [Файл не подписан]
HKLM Group Policy restriction on software: C:\WINDOWS\DEBUG\OK.DAT <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-07-08 09:18 - 2024-07-08 09:18 - 000000945 _____ C:\Users\Администратор\AppData\Local\Decryption_INFO.txt
2024-07-07 22:45 - 2024-07-07 22:45 - 000000945 _____ C:\Users\amelnikov\Desktop\Decryption_INFO.txt
2024-07-07 15:36 - 2024-07-07 19:12 - 000000000 ____D C:\Users\amelnikov\AppData\Roaming\Process Hacker 2
2024-07-07 15:33 - 2024-07-08 09:34 - 000000945 _____ C:\Users\amelnikov\AppData\Local\Decryption_INFO.txt
2024-07-07 15:31 - 2024-07-08 09:34 - 000000945 _____ C:\Decryption_INFO.txt
2024-07-07 15:28 - 2024-07-07 22:43 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-07 15:28 - 2024-07-07 16:58 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
Unlock: C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
Unlock: C:\Users\Администратор\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-08 09:36 - 2023-04-17 05:48 - 000000000 __SHD C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-08 09:33 - 2022-03-10 06:02 - 000000000 __SHD C:\Users\Администратор\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Цитата

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
Опубликовано

По очистке в UVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без системы.

;uVS v4.15.7v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 26
regt 25
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT

После завершения работы uVS:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Опубликовано

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

_

проверьте ЛС

Опубликовано

Спасибо за помощь! Последую вашему совету. Можете дать рекомендации по еще одному серверу?

Addition.txt FRST.txt

Опубликовано

Учетная запись служебная?

Цитата

xyz (S-1-5-21-722250804-2623365691-558775560-1058 - Administrator - Enabled) => C:\Users\xyz

 

по очистке:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, ,без перезагрузки

Start::
2024-07-09 06:40 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

Опубликовано (изменено)

MIMIC_log из папки c:\temp довольно интересный, с подробным описанием процесса атаки шифрованием

[14:59:35] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe" -e watch -pid 5508 -!  (pid:24512)

 

и судя по логу они успели выполнить всю свою программу:


 

Цитата

 

[18:03:11] [+] Command execution completed.
[18:03:11] [+] Success run: notepad.exe "C:\Users\AMelnikov\AppData\Local\Decryption_INFO.txt" (pid:9888)
[18:03:12] [*] Cleaning disk space...
[18:03:12] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\xdel.exe" -accepteula -p 1 -c C:\ (pid:28900)
[18:03:12] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\xdel.exe" -accepteula -p 1 -c D:\ (pid:21304)
[18:03:12] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\xdel.exe" -accepteula -p 1 -c E:\ (pid:12376)
[01:50:52] [*] Work finished.
[01:50:52] [*] CleanUp.
[01:50:52] [+] Success run: wevtutil.exe cl security (pid:1208)
[01:50:52] [+] Success run: wevtutil.exe cl system (pid:27300)
[01:50:52] [+] Success run: wevtutil.exe cl application (pid:13864)
[01:50:52] [*] Kill watcher
[01:50:52] [*] Self del
[01:50:52] [+] Success run: cmd.exe /d /c "ping 127.2 -n 5 & fsutil file setZeroData offset=0 length=20000000 "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe" & cd /d "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A" & Del /f /q /a *.exe *.ini *.dll *.bat *.db" (pid:10788)
[01:50:52] Closing...

 


 

 

Изменено пользователем safety
Опубликовано

Ну таки да! Одну машину я сумел почистить самостоятельно. Собственный комп. Но там поражены были только общие ресурсы. А все остальное ждало своего часа в заданиях таск менеджера. Могу прислать сам экзешник elpacoteam.exe для изучения.

Опубликовано
18 часов назад, МАН сказал:

А все остальное ждало своего часа в заданиях таск менеджера. Могу прислать сам экзешник elpacoteam.exe для изучения.

А что там было в задачах? Файл пришлите, пожалуйста,  в архиве, с паролем virus, по ссылке на облачный диск, через ЛС.

Опубликовано
13 часов назад, safety сказал:

А что там было в задачах? Файл пришлите, пожалуйста,  в архиве, с паролем virus, по ссылке на облачный диск, через ЛС.

Четко не заострял внимание. Грохнул все задачи в запаре и все. Возможно был запуск экзешника elpaco-team с рабочего стола созданного батником пользователя. Экзешник выслал в личку.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SEDEK
      Автор SEDEK
      Добрый день! Наша компания столкнулась с мошенниками, которые заразили все сервера под управлением виндовс сервер. Очень прошу помочь, так как встали все рабочие процессы и офис не может функционировать.
       
      ZUT - Windows Server 2019
      Angel - Windows Server 2012 R2
      ZVID - Windows Server 2019
      Версия везде одна и та же keswin_12.10.0.466_ru_aes256.exe
      578A3A89.key
          Kaspersky Security for WS and FS
      578A3A88.key
          Kaspersky Security Center
       
       
      Addition.txt FRST.txt file .zip
    • SPQR35
      Автор SPQR35
      Зашифрованы документы на ПК. forumkasperskyclubru@msg.ws
      Addition.txt FRST.txt Файлы.rar
    • Gulzat
      Автор Gulzat
      Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо.
      Addition.txt FRST.txt virus.7z
    • VictorM630103
      Автор VictorM630103
      HEUR:Trojan-Ransom.Win32.Generic зашифровал файлы в системе. Добавленное расширение .gh8ta. Заражение произошло после открытия вложенного файла в электронном письме.
      Прилагаю логи, сообщение о выкупе. Файл вируса имеется в архиве (не прикреплен). Есть расшифрованные вымогателем пробные файлы.
      FRST.txt Файлы и сообщение о выкупе.zip
    • stifler511
      Автор stifler511
      Здравствуйте, зашифровали файлы forumkasperskyclubru@msg.ws
      Addition.txt FRST.txt
      примеры
      Примеры файлов.rar
×
×
  • Создать...