Перейти к содержанию

Нужна помощь с шифровальщиком elpaco team. Пожалуйста.

Сергей3300
 Поделиться

Рекомендуемые сообщения

Сергей3300

Сергей3300

Опубликовано
Опубликовано

Добрый день прошу помощи в удалении шифровальщика и расшифровке файлов. Спасибо большое.

Сергей3300

Сергей3300

Опубликовано
  • Автор
Опубликовано

Пароль virus в первом варианте не прикрепил файл Decryption_INFO----злоумыленники.txt

Files_2.rar

Sandor

Sandor

Опубликовано
Опубликовано

К сожалению, расшифровки этого типа вымогателя нет.

Полагаю, вы итак уже это поняли.

 

Помощь в очистке системы от его следов нужна или планируете переустановку?

Сергей3300

Сергей3300

Опубликовано
  • Автор
Опубликовано

Если возможно помочь, сюда попробую поставить важные файлы хоть, что-то вытянуть конфиги может получится, а вообще не известно в ближайщее время появится расшифровщик ? И могли бы проконсультировать пожалуйста как мог попасть этот шифровальщик ?

safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2018-10-24]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\sksupport\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-07 03:55 - 2024-07-07 03:55 - 000000927 _____ C:\Users\systema$\Desktop\Decryption_INFO.txt
2024-07-07 03:55 - 2024-07-07 03:55 - 000000927 _____ C:\Users\Decryption_INFO.txt
2024-07-06 14:33 - 2024-07-07 03:34 - 000000927 _____ C:\Users\systema$\AppData\Local\Decryption_INFO.txt
2024-07-06 14:32 - 2024-07-07 03:55 - 000000927 _____ C:\Decryption_INFO.txt
2024-07-06 14:31 - 2024-07-07 03:29 - 000000000 ____D C:\Users\systema$\AppData\Roaming\Process Hacker 2
2024-07-06 14:27 - 2024-07-07 03:29 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-06 14:27 - 2024-07-06 14:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-07 03:56 - 2022-06-15 01:00 - 000000000 __SHD C:\Users\systema$\AppData\Local\B030C116-A730-AE91-0CE4-073B07B52D85
2024-07-07 03:28 - 2023-06-10 13:31 - 000001491 _____ C:\Users\Пользователь\Desktop\cmd.exe
2024-07-07 03:28 - 2021-08-01 15:21 - 020385202 _____ C:\Users\sksupport\Desktop\Advanced_IP_Scanner_2.5.3850.exe
2024-07-07 03:28 - 2018-10-30 19:37 - 020210282 _____ C:\Users\Пользователь\Downloads\Advanced_IP_Scanner_2.5.3646.exe.ELPACO-team
2024-07-07 03:28 - 2018-10-24 19:48 - 002066714 _____ C:\Users\Пользователь\Downloads\AnyDesk.exe.ELPACO-team
FirewallRules: [{F392FCD2-4128-4A7B-93C9-69313A33715F}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{DAD1CBDF-DECC-49F5-8992-CF2F02F10250}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{1E022049-599A-4782-B17F-CB782C437803}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{318A4FF5-D0CA-4A5E-9CF6-2227E23CAB2D}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{72BAA868-5EB6-4371-807C-04B1A01BD68D}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{22CBB58A-D0AF-4A81-9E14-77F6816E27D3}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{F06EF9FB-D9AA-4F09-8665-8E3338A0E9B3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AAEB0804-230A-4684-8662-5CF1F9CA77BF}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B2754FD3-E038-476C-85F1-C8363AB11CCE}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{6FBAC0A8-7AF5-4F85-88F0-31D4F5F0BB95}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{23F20CE8-DEEE-47F6-A507-94AF49CA07A2}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{EA739E95-B5D2-4526-98CF-2D8323BAA34B}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано
45 минут назад, Сергей3300 сказал:

Файл во вложении.

Скрипт из моего предыдущего сообщения выполнили?

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

safety

safety

Опубликовано
Опубликовано

С расшифровкой не сможем помочь.

-------

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • VNDR
      Вымогальщик. Нужна помощь с расшифровкой.
      Автор VNDR
      Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.
      Файлы прикладываю.
      Просим помощи!
      HowToRestoreFiles.txt Новая папка (4).rar
    • Rowman
      Помощь с шифровальщиком zeppelin
      Автор Rowman
      Здравствуйте!
      Файлы на сервере были зашифрованы zeppelin-ом. Система зависла в процессе, поэтому работу вирус не завершил. Сервер после этого не загружал, подключил HDD к другому компьютеру, и вытащил ключи из реестра вместе файлом вируса. Как я понимаю, бесплатное решение на данный момент отсутствует. Коммерческой лицензии Касперского нет. Имеет ли смысл её приобретать для обращения в техподдержку (помогут ли)?
      20.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • itz
      Помощь с определением шифровальщика
      Автор itz
      Добрый день, помогите пожалуйста с определением типа шифровальщика и возможности расшифровать данные файлы. Прилагаю несколько файлов в архиве и записку с требованиями
      bNch5yfLR.README.txt шифровальщик.rar
    • imagic
      Нужна помощь с [restore1_helper@gmx.de].Banta
      Автор imagic
      Парни,
      Помогите справится с монстром!
×
×
  • Создать...