Перейти к содержанию

Попали на ELPACO-team

zummer900
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано
6 часов назад, zummer900 сказал:

добавьте файл MINIC_LOG.txt

будет понятно, какие устройства были затронуты шифрованием

С большой вероятностью, лог MIMIC_LOG.txt создается только на тех устройствах, где был ручной запуска пакета шифровальщика.

На устройствах, где шифруются полученные при запуске установщика Mimic расшаренные каталоги и админские шары, не создается отдельный процесс шифровальщика, т.е. шифрование выполняется по сети.
 

Цитата

 

[23:59:53] [x] \\DESKTOP-62J6SAE\Users

[23:59:53] [x] \\192.168.1.11\C$
[23:59:53] [x] \\192.168.1.11\D$
[23:59:53] [x] \\192.168.1.11\E$

 

 

zummer900

zummer900

Опубликовано
  • Автор
Опубликовано
15.07.2024 в 03:12, safety сказал:

С большой вероятностью, лог MIMIC_LOG.txt создается только на тех устройствах, где был ручной запуска пакета шифровальщика.

На устройствах, где шифруются полученные при запуске установщика Mimic расшаренные каталоги и админские шары, не создается отдельный процесс шифровальщика, т.е. шифрование выполняется по сети.
 

 

Добрый день.

Посмотрите логи этого ПК. На него не было атаки, но на него был скачен зашифрованный файл.

Вопрос можно ли на этом пк продолжать работу? Или лучше снести систему?

Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)
2 часа назад, zummer900 сказал:

Вопрос можно ли на этом пк продолжать работу? Или лучше снести систему?

В автозапуске нет файлов шифровальщика, можно доустановить критические обновления для системы и продолжить работу.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Binomial
      ELPACO-team
      Автор Binomial
      Добрый день! Подскажите пожалуйста , появился ли дешифратор или как-то можно вылечить   ELPACO-team , Your decryption ID is Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***_*ELPACO-team-Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***
       
    • Alexandr_
      заразился ELPACO-team
      Автор Alexandr_
      Добрый день, помогите победить шифровальщик от Elpaco-team, зашифровал документы и  базу 1С (
      Надеюсь на Вашу помощь
      Addition.txt Decrypt_ELPACO-team_info.txt filespdf.rar FRST.txt
    • dtropinin
      ELPACO-team шифровальщик.
      Автор dtropinin
      Здравствуйте специалисты.
      вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
      выключил быстро комп.
      в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
      Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
      Диск E - вообще не пострадал.
      Диск М - вообще не пострадал.
      На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
      Одна из них - Win7.
      На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
      Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
      Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
      ---------------------------------------
      В системе установлена служба.
      Имя службы:  KProcessHacker3
      Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
      Тип службы:  драйвер режима ядра
      Тип запуска службы:  Вручную
      Учетная запись службы: 
      ---------------------------------------
      далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
       
      Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
      так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
       
       
       
       
       

    • Flange
      Шифровальщик ELPACO-team
      Автор Flange
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
       
      Addition.txt FRST.txt Garantiinyi_talon_Wolf.pdf.zip
    • Malsim
      Шифровальщик ELPACO-team
      Автор Malsim
      Добрый день!
       
      Прошу помощи с шифровальщиком-вымогателем ELPACO.
       
      Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении. 
       
      Заранее спасибо!
       
      Virus.rar
×
×
  • Создать...