Перейти к содержанию

Нужна помощь с шифровальщиком elpaco team. Пожалуйста.


Рекомендуемые сообщения

Добрый день прошу помощи в удалении шифровальщика и расшифровке файлов. Спасибо большое.

Ссылка на комментарий
Поделиться на другие сайты

К сожалению, расшифровки этого типа вымогателя нет.

Полагаю, вы итак уже это поняли.

 

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты

Если возможно помочь, сюда попробую поставить важные файлы хоть, что-то вытянуть конфиги может получится, а вообще не известно в ближайщее время появится расшифровщик ? И могли бы проконсультировать пожалуйста как мог попасть этот шифровальщик ?

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2018-10-24]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\sksupport\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-07 03:55 - 2024-07-07 03:55 - 000000927 _____ C:\Users\systema$\Desktop\Decryption_INFO.txt
2024-07-07 03:55 - 2024-07-07 03:55 - 000000927 _____ C:\Users\Decryption_INFO.txt
2024-07-06 14:33 - 2024-07-07 03:34 - 000000927 _____ C:\Users\systema$\AppData\Local\Decryption_INFO.txt
2024-07-06 14:32 - 2024-07-07 03:55 - 000000927 _____ C:\Decryption_INFO.txt
2024-07-06 14:31 - 2024-07-07 03:29 - 000000000 ____D C:\Users\systema$\AppData\Roaming\Process Hacker 2
2024-07-06 14:27 - 2024-07-07 03:29 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-06 14:27 - 2024-07-06 14:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-07 03:56 - 2022-06-15 01:00 - 000000000 __SHD C:\Users\systema$\AppData\Local\B030C116-A730-AE91-0CE4-073B07B52D85
2024-07-07 03:28 - 2023-06-10 13:31 - 000001491 _____ C:\Users\Пользователь\Desktop\cmd.exe
2024-07-07 03:28 - 2021-08-01 15:21 - 020385202 _____ C:\Users\sksupport\Desktop\Advanced_IP_Scanner_2.5.3850.exe
2024-07-07 03:28 - 2018-10-30 19:37 - 020210282 _____ C:\Users\Пользователь\Downloads\Advanced_IP_Scanner_2.5.3646.exe.ELPACO-team
2024-07-07 03:28 - 2018-10-24 19:48 - 002066714 _____ C:\Users\Пользователь\Downloads\AnyDesk.exe.ELPACO-team
FirewallRules: [{F392FCD2-4128-4A7B-93C9-69313A33715F}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{DAD1CBDF-DECC-49F5-8992-CF2F02F10250}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{1E022049-599A-4782-B17F-CB782C437803}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{318A4FF5-D0CA-4A5E-9CF6-2227E23CAB2D}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{72BAA868-5EB6-4371-807C-04B1A01BD68D}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{22CBB58A-D0AF-4A81-9E14-77F6816E27D3}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{F06EF9FB-D9AA-4F09-8665-8E3338A0E9B3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AAEB0804-230A-4684-8662-5CF1F9CA77BF}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B2754FD3-E038-476C-85F1-C8363AB11CCE}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{6FBAC0A8-7AF5-4F85-88F0-31D4F5F0BB95}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{23F20CE8-DEEE-47F6-A507-94AF49CA07A2}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{EA739E95-B5D2-4526-98CF-2D8323BAA34B}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

45 минут назад, Сергей3300 сказал:

Файл во вложении.

Скрипт из моего предыдущего сообщения выполнили?

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой не сможем помочь.

-------

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • DeepX
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
×
×
  • Создать...