Перейти к содержанию

elpaco-team можно ли самостоятельно решить проблему?

МАН
 Поделиться

Рекомендуемые сообщения

МАН

МАН

Опубликовано
  • Автор
Опубликовано

Сегодня с утра докторвебом было обнаружено повторное заражение. Потом прошелся касперским. В скане FRST упоминается какой-то руткит в службах. Касперский не реагирует.

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)

Опять появились вот такие вещи

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
 

Снимок экрана 2024-07-11 в 5.28.51.png

FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)

Возможно эффект использования антивирусных сканеров.

 

ыполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Run: [QLogicSaveSystemInfo] => rundll32.exe qlco10011.dll,QLSaveSystemInfo (Нет файла)
HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)
2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted
2024-07-09 14:55 - 2024-07-09 14:55 - 000000000 ____D C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
HKU\S-1-5-21-2121173459-1681163310-1468016665-1000\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Перегрузите систему,

и сделайте новые логи FRST, добавьте новые логи для контроля.

+

добавьте лог проверки в Cureit

+

вопрос:

KES установили уже после нового обнаружения в Cureit?

+

вопрос2:

xyz - служебная учетная запись, или учетка, созданная злоумышленниками?

 

Изменено пользователем safety
МАН

МАН

Опубликовано
  • Автор
Опубликовано

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!) исчезло из логов FRST еще вечером. 

 

Эти строки я пофиксил сам

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ

Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ

 

Fixlog во вложении еще вечерний

FRST текущий

cureit проходил несколько раз 

KES установил после прохода cureit

учетку xyz создал сам

 

 

 

Fixlog.txt FRST.txt Addition.txt cureit(14616).log

safety

safety

Опубликовано
Опубликовано (изменено)

Windef видимо ограничен после установки KES

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ

 

Fixlog отличается от скрипта, который вам надо было выполнить, 

 

Интересовали эти записи: 

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted
2024-07-09 14:55 - 2024-07-09 14:55 - 000000000 ____D C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp

По логу Курейта от 11.07 ничего не найдено.

 

Scan session started 2024/07/11 08:08:51 

 

Total 17422287795 bytes in 39944 files scanned (41797 objects)
Total 39939 files (41593 objects) are clean
There are no infected objects detected
Total 204 files are raised error condition
Scan time is 00:13:19.954

 

Этот инструмент не поможет:

2024-07-08 13:33 - 2024-07-08 13:33 - 000969845 _____ (ShadowExplorer.com ) C:\Users\psisoev\Downloads\ShadowExplorer-0.9-setup.exe

Mimic очищает точки восстановления.

Изменено пользователем safety
МАН

МАН

Опубликовано
  • Автор
Опубликовано

Спасибо за поддержку!

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted     создано мной

2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp    создано мной

 

Текущий проход во вложении

 

 

 

Fixlog.txt FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано
4 минуты назад, МАН сказал:

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted     создано мной

2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp    создано мной

ясно, тогда пока все. Успехов в работе над безопасностью ваших устройств.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Binomial
      ELPACO-team
      Автор Binomial
      Добрый день! Подскажите пожалуйста , появился ли дешифратор или как-то можно вылечить   ELPACO-team , Your decryption ID is Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***_*ELPACO-team-Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***
       
    • Alexandr_
      заразился ELPACO-team
      Автор Alexandr_
      Добрый день, помогите победить шифровальщик от Elpaco-team, зашифровал документы и  базу 1С (
      Надеюсь на Вашу помощь
      Addition.txt Decrypt_ELPACO-team_info.txt filespdf.rar FRST.txt
    • zummer900
      Попали на ELPACO-team
      Автор zummer900
      Добрый день.
      В ночь и нас накрыли данные ребята. 
      Прекрасно понимаю что расшифровать нельзя. Зашифровали все .exe файлы. То есть система под снос. 
       
      Вопрос как понять откуда пошло ?
      Как вычислить на других машинах ?
       
       
      парк тачек большой. По RDP на ружу смотрела пару машин. Но не с одной из них доступа к серверам 1с не было, но он тоже лег. Внутри локалки в 1с ходят по RDP....думаю в этом и причина. 
      Зашифрованы и сетевые папки по самбе. Файловая помойка на линуксе OMV. На ней поднята самба и расшарены файлы.
       
      Addition.txt Decryption_INFO.txt FRST.txt filevirus.rar
    • dtropinin
      ELPACO-team шифровальщик.
      Автор dtropinin
      Здравствуйте специалисты.
      вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
      выключил быстро комп.
      в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
      Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
      Диск E - вообще не пострадал.
      Диск М - вообще не пострадал.
      На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
      Одна из них - Win7.
      На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
      Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
      Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
      ---------------------------------------
      В системе установлена служба.
      Имя службы:  KProcessHacker3
      Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
      Тип службы:  драйвер режима ядра
      Тип запуска службы:  Вручную
      Учетная запись службы: 
      ---------------------------------------
      далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
       
      Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
      так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
       
       
       
       
       

    • Flange
      Шифровальщик ELPACO-team
      Автор Flange
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
       
      Addition.txt FRST.txt Garantiinyi_talon_Wolf.pdf.zip
×
×
  • Создать...