Перейти к содержанию

Нужна помощь с шифровальщиком elpaco team. Пожалуйста.


Рекомендуемые сообщения

Добрый день прошу помощи в удалении шифровальщика и расшифровке файлов. Спасибо большое.

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, расшифровки этого типа вымогателя нет.

Полагаю, вы итак уже это поняли.

 

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

Если возможно помочь, сюда попробую поставить важные файлы хоть, что-то вытянуть конфиги может получится, а вообще не известно в ближайщее время появится расшифровщик ? И могли бы проконсультировать пожалуйста как мог попасть этот шифровальщик ?

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2018-10-24]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\sksupport\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-07 03:55 - 2024-07-07 03:55 - 000000927 _____ C:\Users\systema$\Desktop\Decryption_INFO.txt
2024-07-07 03:55 - 2024-07-07 03:55 - 000000927 _____ C:\Users\Decryption_INFO.txt
2024-07-06 14:33 - 2024-07-07 03:34 - 000000927 _____ C:\Users\systema$\AppData\Local\Decryption_INFO.txt
2024-07-06 14:32 - 2024-07-07 03:55 - 000000927 _____ C:\Decryption_INFO.txt
2024-07-06 14:31 - 2024-07-07 03:29 - 000000000 ____D C:\Users\systema$\AppData\Roaming\Process Hacker 2
2024-07-06 14:27 - 2024-07-07 03:29 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-06 14:27 - 2024-07-06 14:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-07 03:56 - 2022-06-15 01:00 - 000000000 __SHD C:\Users\systema$\AppData\Local\B030C116-A730-AE91-0CE4-073B07B52D85
2024-07-07 03:28 - 2023-06-10 13:31 - 000001491 _____ C:\Users\Пользователь\Desktop\cmd.exe
2024-07-07 03:28 - 2021-08-01 15:21 - 020385202 _____ C:\Users\sksupport\Desktop\Advanced_IP_Scanner_2.5.3850.exe
2024-07-07 03:28 - 2018-10-30 19:37 - 020210282 _____ C:\Users\Пользователь\Downloads\Advanced_IP_Scanner_2.5.3646.exe.ELPACO-team
2024-07-07 03:28 - 2018-10-24 19:48 - 002066714 _____ C:\Users\Пользователь\Downloads\AnyDesk.exe.ELPACO-team
FirewallRules: [{F392FCD2-4128-4A7B-93C9-69313A33715F}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{DAD1CBDF-DECC-49F5-8992-CF2F02F10250}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{1E022049-599A-4782-B17F-CB782C437803}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{318A4FF5-D0CA-4A5E-9CF6-2227E23CAB2D}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{72BAA868-5EB6-4371-807C-04B1A01BD68D}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{22CBB58A-D0AF-4A81-9E14-77F6816E27D3}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{F06EF9FB-D9AA-4F09-8665-8E3338A0E9B3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AAEB0804-230A-4684-8662-5CF1F9CA77BF}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B2754FD3-E038-476C-85F1-C8363AB11CCE}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{6FBAC0A8-7AF5-4F85-88F0-31D4F5F0BB95}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{23F20CE8-DEEE-47F6-A507-94AF49CA07A2}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{EA739E95-B5D2-4526-98CF-2D8323BAA34B}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
45 минут назад, Сергей3300 сказал:

Файл во вложении.

Скрипт из моего предыдущего сообщения выполнили?

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой не сможем помочь.

-------

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Anix
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
×
×
  • Создать...