Перейти к содержанию

Шифровальщик зашифровал файлы


Рекомендуемые сообщения

Алексей Красный Ключ

Добрый день!

Шифровальщик зашифровал файлы с расширением ELPACO-team

Определить шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь! 

Decryption_INFO.zip

Ссылка на сообщение
Поделиться на другие сайты
18 минут назад, Алексей Красный Ключ сказал:

Файлы логов программы  Farbar Recovery Scan Tool во вложении

файлы логов надо сделать на том устройстве где есть зашифрованные файлы.

Здесь судя по логам FRST нет следов шифрования.

По типу шифровальщика с учетом указанного вами расширения *ELPACO-team  - Mimic Ransomware

Ссылка на сообщение
Поделиться на другие сайты
Алексей Красный Ключ

Там файлообменник на линуксе и нет графического интерфейса, а с какого компа был запущен вирус неизвестно 

Ссылка на сообщение
Поделиться на другие сайты

поищите на ваших ПК папку C:\Temp, в ней может быть файл MIMIC_LOG.txt. Таких ПК может быть несколько, может быть один.

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее

 

Start::
() [Файл не подписан] C:\Users\noname\AppData\Local\F6A3737E-E3B0-8956-8261-0121C68105F3\gui40.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\notepad.exe
HKLM\...\Run: [svhostss.exe] => C:\Users\noname\AppData\Local\Decryption_INFO.txt [935 2024-07-14] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-14 14:09 - 2024-07-14 14:09 - 000000935 _____ C:\Users\noname\Desktop\Decryption_INFO.txt
2024-07-14 12:05 - 2024-07-14 14:07 - 000000935 _____ C:\Users\noname\AppData\Local\Decryption_INFO.txt
2024-07-14 12:04 - 2024-07-14 14:09 - 000000935 _____ C:\Decryption_INFO.txt
2024-07-14 12:04 - 2024-07-14 14:09 - 000000000 ____D C:\temp
2024-07-14 12:03 - 2024-07-14 12:19 - 000000000 ____D C:\Users\noname\AppData\Roaming\Process Hacker 2
2024-07-14 12:01 - 2024-07-14 12:19 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-14 12:01 - 2024-07-14 12:17 - 000002028 _____ C:\Users\noname\Desktop\Process Hacker 2.lnk.ELPACO-team
2024-07-14 12:01 - 2024-07-14 12:01 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-14 15:57 - 2023-08-04 18:57 - 000000000 __SHD C:\Users\noname\AppData\Local\F6A3737E-E3B0-8956-8261-0121C68105F3
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Красный Ключ

Готово

Файл Fixlog.txt из папки, откуда запускали FRST, во вложении

Ссылку на скачивание архива отправил в ЛС, пароль virus

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой не сможем помочь.

-------

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Alexey9009
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
    • bakanov
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
×
×
  • Создать...