Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте специалисты.

вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".

выключил быстро комп.

в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.

Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.

Диск E - вообще не пострадал.

Диск М - вообще не пострадал.

На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.

Одна из них - Win7.

На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.

Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.

Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):

---------------------------------------

В системе установлена служба.

Имя службы:  KProcessHacker3
Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
Тип службы:  драйвер режима ядра
Тип запуска службы:  Вручную
Учетная запись службы: 

---------------------------------------

далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе

 

Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.

так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.

 

 

 

 

 

WhatsApp Image 2024-07-18 at 00.06.38.jpeg

Ссылка на комментарий
Поделиться на другие сайты

В данном разделе отвечают простые пользователи-добровольцы, не имеющие никакого отношения к работе в компании.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, thyrex сказал:

В данном разделе отвечают простые пользователи-добровольцы, не имеющие никакого отношения к работе в компании.

Уважаемые Модераторы. Если можно, перенесите эту тему куда надо, по смыслу. Возможно, мои файлы как-то смогли бы помочь.

спасибо!

 

Ссылка на комментарий
Поделиться на другие сайты

Универсального расшифровщика все равно не сделать. Ключи шифрования уникальные для каждого пострадавшего. Никакого смысла в переносе.

Ссылка на комментарий
Поделиться на другие сайты

6 часов назад, dtropinin сказал:

далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе

да уж, "джентельменский" набор инструментов на выбор: или с шифрованием ELPACO-team или с Phobos (очевидно *.faust)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • DeepX
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
×
×
  • Создать...