Перейти к содержанию

elpaco-team можно ли самостоятельно решить проблему?


Рекомендуемые сообщения

Здравствуйте!

 

Добавьте образцы файлов и записку согласно инструкции - Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
08.07.2024 в 15:55, МАН сказал:

С ним хотелось решить проблему в первую очередь. Спасибо!

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее

 

Start::
HKLM\...\Run: [svhostss] => C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe [0 0000-00-00] () [Доступ не разрешён]
HKLM\...\Run: [svhostss.exe] => C:\Users\amelnikov\AppData\Local\Decryption_INFO.txt [945 2024-07-08] () [Файл не подписан]
HKLM Group Policy restriction on software: C:\WINDOWS\DEBUG\OK.DAT <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-07-08 09:18 - 2024-07-08 09:18 - 000000945 _____ C:\Users\Администратор\AppData\Local\Decryption_INFO.txt
2024-07-07 22:45 - 2024-07-07 22:45 - 000000945 _____ C:\Users\amelnikov\Desktop\Decryption_INFO.txt
2024-07-07 15:36 - 2024-07-07 19:12 - 000000000 ____D C:\Users\amelnikov\AppData\Roaming\Process Hacker 2
2024-07-07 15:33 - 2024-07-08 09:34 - 000000945 _____ C:\Users\amelnikov\AppData\Local\Decryption_INFO.txt
2024-07-07 15:31 - 2024-07-08 09:34 - 000000945 _____ C:\Decryption_INFO.txt
2024-07-07 15:28 - 2024-07-07 22:43 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-07 15:28 - 2024-07-07 16:58 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
Unlock: C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
Unlock: C:\Users\Администратор\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-08 09:36 - 2023-04-17 05:48 - 000000000 __SHD C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-08 09:33 - 2022-03-10 06:02 - 000000000 __SHD C:\Users\Администратор\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Цитата

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

По очистке в UVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без системы.

;uVS v4.15.7v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 26
regt 25
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT

После завершения работы uVS:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

_

проверьте ЛС

Ссылка на сообщение
Поделиться на другие сайты

Учетная запись служебная?

Цитата

xyz (S-1-5-21-722250804-2623365691-558775560-1058 - Administrator - Enabled) => C:\Users\xyz

 

по очистке:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, ,без перезагрузки

Start::
2024-07-09 06:40 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

MIMIC_log из папки c:\temp довольно интересный, с подробным описанием процесса атаки шифрованием

[14:59:35] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe" -e watch -pid 5508 -!  (pid:24512)

 

и судя по логу они успели выполнить всю свою программу:


 

Цитата

 

[18:03:11] [+] Command execution completed.
[18:03:11] [+] Success run: notepad.exe "C:\Users\AMelnikov\AppData\Local\Decryption_INFO.txt" (pid:9888)
[18:03:12] [*] Cleaning disk space...
[18:03:12] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\xdel.exe" -accepteula -p 1 -c C:\ (pid:28900)
[18:03:12] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\xdel.exe" -accepteula -p 1 -c D:\ (pid:21304)
[18:03:12] [+] Success run: "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\xdel.exe" -accepteula -p 1 -c E:\ (pid:12376)
[01:50:52] [*] Work finished.
[01:50:52] [*] CleanUp.
[01:50:52] [+] Success run: wevtutil.exe cl security (pid:1208)
[01:50:52] [+] Success run: wevtutil.exe cl system (pid:27300)
[01:50:52] [+] Success run: wevtutil.exe cl application (pid:13864)
[01:50:52] [*] Kill watcher
[01:50:52] [*] Self del
[01:50:52] [+] Success run: cmd.exe /d /c "ping 127.2 -n 5 & fsutil file setZeroData offset=0 length=20000000 "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe" & cd /d "C:\Users\AMelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A" & Del /f /q /a *.exe *.ini *.dll *.bat *.db" (pid:10788)
[01:50:52] Closing...

 


 

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Ну таки да! Одну машину я сумел почистить самостоятельно. Собственный комп. Но там поражены были только общие ресурсы. А все остальное ждало своего часа в заданиях таск менеджера. Могу прислать сам экзешник elpacoteam.exe для изучения.

Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, МАН сказал:

А все остальное ждало своего часа в заданиях таск менеджера. Могу прислать сам экзешник elpacoteam.exe для изучения.

А что там было в задачах? Файл пришлите, пожалуйста,  в архиве, с паролем virus, по ссылке на облачный диск, через ЛС.

Ссылка на сообщение
Поделиться на другие сайты
13 часов назад, safety сказал:

А что там было в задачах? Файл пришлите, пожалуйста,  в архиве, с паролем virus, по ссылке на облачный диск, через ЛС.

Четко не заострял внимание. Грохнул все задачи в запаре и все. Возможно был запуск экзешника elpaco-team с рабочего стола созданного батником пользователя. Экзешник выслал в личку.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • dtropinin
      От dtropinin
      Здравствуйте специалисты.
      вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
      выключил быстро комп.
      в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
      Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
      Диск E - вообще не пострадал.
      Диск М - вообще не пострадал.
      На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
      Одна из них - Win7.
      На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
      Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
      Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
      ---------------------------------------
      В системе установлена служба.
      Имя службы:  KProcessHacker3
      Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
      Тип службы:  драйвер режима ядра
      Тип запуска службы:  Вручную
      Учетная запись службы: 
      ---------------------------------------
      далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
       
      Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
      так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
       
       
       
       
       

    • KIART
      От KIART
      Добрый день! 11.07.24 мой сервер атаковал вирус-шифровальщик. При включении сервера появляется текст от злоумышленников с требованием перевести биткоины в замен на ключ для расшифровки. Сейчас необходимый файл бэкап вяглядит так: Resto.bak.gz.ELPACO-team. Обращался в две организации, которые занимаются расшифровкой, обе ответили что расшифровать не могут, тип шифрования новый, решения пока нет. Подскажите, сталкивался ли кто-то недавно с такой проблемой, может уже есть неопубликованное решение? 
    • Алексей1977
      От Алексей1977
      Добрый день! В принципе в заголовке все описал. Хотел поинтересоваться, был ли у кого положительный опыт в расшифровке этих файлов?
    • Алексей Красный Ключ
      От Алексей Красный Ключ
      Добрый день!
      Шифровальщик зашифровал файлы с расширением ELPACO-team
      Определить шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      Decryption_INFO.zip
    • zummer900
      От zummer900
      Добрый день.
      В ночь и нас накрыли данные ребята. 
      Прекрасно понимаю что расшифровать нельзя. Зашифровали все .exe файлы. То есть система под снос. 
       
      Вопрос как понять откуда пошло ?
      Как вычислить на других машинах ?
       
       
      парк тачек большой. По RDP на ружу смотрела пару машин. Но не с одной из них доступа к серверам 1с не было, но он тоже лег. Внутри локалки в 1с ходят по RDP....думаю в этом и причина. 
      Зашифрованы и сетевые папки по самбе. Файловая помойка на линуксе OMV. На ней поднята самба и расшарены файлы.
       
      Addition.txt Decryption_INFO.txt FRST.txt filevirus.rar
×
×
  • Создать...