Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

ELPACO-team шифровальщик.

dtropinin
 Share Подписчики 1

Рекомендуемые сообщения

dtropinin

dtropinin 0

Опубликовано
Опубликовано

Здравствуйте специалисты.

вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".

выключил быстро комп.

в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.

Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.

Диск E - вообще не пострадал.

Диск М - вообще не пострадал.

На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.

Одна из них - Win7.

На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.

Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.

Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):

---------------------------------------

В системе установлена служба.

Имя службы:  KProcessHacker3
Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
Тип службы:  драйвер режима ядра
Тип запуска службы:  Вручную
Учетная запись службы: 

---------------------------------------

далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе

 

Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.

так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.

 

 

 

 

 

WhatsApp Image 2024-07-18 at 00.06.38.jpeg

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

В данном разделе отвечают простые пользователи-добровольцы, не имеющие никакого отношения к работе в компании.

Ссылка на сообщение
Поделиться на другие сайты
dtropinin

dtropinin 0

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:

В данном разделе отвечают простые пользователи-добровольцы, не имеющие никакого отношения к работе в компании.

Уважаемые Модераторы. Если можно, перенесите эту тему куда надо, по смыслу. Возможно, мои файлы как-то смогли бы помочь.

спасибо!

 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Универсального расшифровщика все равно не сделать. Ключи шифрования уникальные для каждого пострадавшего. Никакого смысла в переносе.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано (изменено)
6 часов назад, dtropinin сказал:

далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе

да уж, "джентельменский" набор инструментов на выбор: или с шифрованием ELPACO-team или с Phobos (очевидно *.faust)

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Alexey9009
      Зашифровали 1С, документы и файлы предприятия
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
×
×
  • Создать...