Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте специалисты.

вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".

выключил быстро комп.

в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.

Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.

Диск E - вообще не пострадал.

Диск М - вообще не пострадал.

На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.

Одна из них - Win7.

На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.

Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.

Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):

---------------------------------------

В системе установлена служба.

Имя службы:  KProcessHacker3
Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
Тип службы:  драйвер режима ядра
Тип запуска службы:  Вручную
Учетная запись службы: 

---------------------------------------

далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе

 

Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.

так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.

 

 

 

 

 

WhatsApp Image 2024-07-18 at 00.06.38.jpeg

Опубликовано

В данном разделе отвечают простые пользователи-добровольцы, не имеющие никакого отношения к работе в компании.

Опубликовано
1 час назад, thyrex сказал:

В данном разделе отвечают простые пользователи-добровольцы, не имеющие никакого отношения к работе в компании.

Уважаемые Модераторы. Если можно, перенесите эту тему куда надо, по смыслу. Возможно, мои файлы как-то смогли бы помочь.

спасибо!

 

Опубликовано

Универсального расшифровщика все равно не сделать. Ключи шифрования уникальные для каждого пострадавшего. Никакого смысла в переносе.

Опубликовано (изменено)
6 часов назад, dtropinin сказал:

далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе

да уж, "джентельменский" набор инструментов на выбор: или с шифрованием ELPACO-team или с Phobos (очевидно *.faust)

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Flange
      Автор Flange
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
       
      Addition.txt FRST.txt Garantiinyi_talon_Wolf.pdf.zip
    • Malsim
      Автор Malsim
      Добрый день!
       
      Прошу помощи с шифровальщиком-вымогателем ELPACO.
       
      Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении. 
       
      Заранее спасибо!
       
      Virus.rar
    • nikitapatek
      Автор nikitapatek
      Здравствуйте. 
       
      Поймали вирус - шифровальщик, elpaco team.  Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение. 
       
      В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя.  Хотя RDP так же с выходом в сеть имелся на данной машине.  Но под основного пользователя вроде бы как не заходили по RDP.
       
      В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк. 
      А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки.  Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения.  Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
       
      Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д. 
      Их приложил в архив шифровальщик.zip , пароль virus.
       
      Ну и несколько образцов зараженных файлов соответствующий архив.
       
       
      Логи по инструкции так же приложил.
       
       
       
      шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
    • Binomial
      Автор Binomial
      Добрый день! Подскажите пожалуйста , появился ли дешифратор или как-то можно вылечить   ELPACO-team , Your decryption ID is Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***_*ELPACO-team-Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***
       
    • DeepX
      Автор DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
×
×
  • Создать...