Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте специалисты.

вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".

выключил быстро комп.

в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.

Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.

Диск E - вообще не пострадал.

Диск М - вообще не пострадал.

На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.

Одна из них - Win7.

На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.

Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.

Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):

---------------------------------------

В системе установлена служба.

Имя службы:  KProcessHacker3
Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
Тип службы:  драйвер режима ядра
Тип запуска службы:  Вручную
Учетная запись службы: 

---------------------------------------

далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе

 

Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.

так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.

 

 

 

 

 

WhatsApp Image 2024-07-18 at 00.06.38.jpeg

Ссылка на комментарий
Поделиться на другие сайты

В данном разделе отвечают простые пользователи-добровольцы, не имеющие никакого отношения к работе в компании.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, thyrex сказал:

В данном разделе отвечают простые пользователи-добровольцы, не имеющие никакого отношения к работе в компании.

Уважаемые Модераторы. Если можно, перенесите эту тему куда надо, по смыслу. Возможно, мои файлы как-то смогли бы помочь.

спасибо!

 

Ссылка на комментарий
Поделиться на другие сайты

Универсального расшифровщика все равно не сделать. Ключи шифрования уникальные для каждого пострадавшего. Никакого смысла в переносе.

Ссылка на комментарий
Поделиться на другие сайты

6 часов назад, dtropinin сказал:

далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе

да уж, "джентельменский" набор инструментов на выбор: или с шифрованием ELPACO-team или с Phobos (очевидно *.faust)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Максим Шахторин
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Malsim
      От Malsim
      Добрый день!
       
      Прошу помощи с шифровальщиком-вымогателем ELPACO.
       
      Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении. 
       
      Заранее спасибо!
       
      Virus.rar
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
    • Эдуард Autofresh
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
×
×
  • Создать...