mimic/n3wwv43 ransomware Шифровальщик, дал расширение ELPACO-team. Найден вирус HEUR:Trojan-Ransom.Win32.Mimic.gen
Автор
Алексей1977,
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
От nikitapatek
Здравствуйте.
Поймали вирус - шифровальщик, elpaco team. Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение.
В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя. Хотя RDP так же с выходом в сеть имелся на данной машине. Но под основного пользователя вроде бы как не заходили по RDP.
В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк.
А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки. Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения. Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д.
Их приложил в архив шифровальщик.zip , пароль virus.
Ну и несколько образцов зараженных файлов соответствующий архив.
Логи по инструкции так же приложил.
шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
-
От barss2001
Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились зашифрованые файлы
virus.rar FRST64.rar
-
От Sgen
Доброго времени суток. Прошу помощи. Прошелся шифровальщик. Файлы стали с расширением "*.ask-OfatBlotdck3HCPrQmQJ3GWZcuoDs4tYVpcxn4cBjFE"
Хак.rar
-
От gentry
Добрый день. Прошу помощи в дешифровке.
Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
elpaco.rar
-
От андрей77
добрый день.
возможно через RDP (подбор паролей) попал вирус шифровальщик и почти все файлы с расширением elpaco-team.
в архиве несколько зараженных файлов и само письмо о выкупе.
можете помочь расшифровать файлы?
02.rar
-
Рекомендуемые сообщения