Перейти к содержанию

Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS

LiSenya
 Share

Рекомендуемые сообщения

LiSenya Новичок

LiSenya

Опубликовано
Опубликовано (изменено)

Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS.

Прилагаю логи: txt файл, архив который зашифровали, зашифрованную JSON и оригинальную.

Так же ссылка на вирустотл: VirusTotal - File - 35a2666e8267886eba8b049a6801a59b2db817e73a0956bda6257b90038ab411

Будем очень признательны за любую помощь!

 

Архив запаролен. Пароль в ЛС

 

шифрФайлы.rar

Изменено пользователем LiSenya
Сменил пароль на архив
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-07-22 22:33 - 2024-07-22 22:33 - 020386224 _____ (Famatech Corp. ) C:\Users\Admine$\Desktop\Advanced_Port_Scanner_2.5.3869.exe
2024-07-22 22:50 - 2024-07-22 22:50 - 000000452 _____ C:\Elons_Help.txt
2024-07-22 18:01 - 2024-07-18 20:52 - 029523688 _____ C:\Users\Public\ngrok.exe
Task: {E9C77067-5AED-4620-ABBF-C6035FE795A6} - System32\Tasks\RDP Wrapper Autoupdate => C:\Windows\system32\cmd.exe [289792 2023-11-14] (Microsoft Windows -> Microsoft Corporation) -> /C "c:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ВНИМАНИЕ
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2024-07-22] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2024-07-22 18:08 - 2024-07-22 18:08 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
End::

После перезагрузки системы:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

+

проверьте ЛС

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Расшифровка файлов по данному типу шифровальщика без приватного ключа невозможна.

Примите рекомендуемые меры безопасности, чтобы исключить новые атаки шифровальщиков.

Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
safety Ветеран

safety

Опубликовано
Опубликовано
10 минут назад, armandu сказал:

у меня такая же

Создайте новую тему в данном разделе, и добавьте все файлы и логи по правилам.

«Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • armandu
      Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS
      От armandu
      Вирус-шифровальщик зашифровал файлы и добавил к ним расширение ELONS. В приложении логи анализа системы и архив с зашифрованными файлами и требованием. Буду признателен за любую помощь!
      Зашифр. файлы.zip Addition.txt FRST.txt
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • tom1
      Шифровальщик с расширением .wtch
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...