-
Похожий контент
-
Автор dtropinin
Здравствуйте специалисты.
вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
выключил быстро комп.
в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
Диск E - вообще не пострадал.
Диск М - вообще не пострадал.
На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
Одна из них - Win7.
На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
---------------------------------------
В системе установлена служба.
Имя службы: KProcessHacker3
Имя файла службы: C:\Program Files\Process Hacker 2\kprocesshacker.sys
Тип службы: драйвер режима ядра
Тип запуска службы: Вручную
Учетная запись службы:
---------------------------------------
далее я нашел на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
-
Автор Malsim
Добрый день!
Прошу помощи с шифровальщиком-вымогателем ELPACO.
Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении.
Заранее спасибо!
Virus.rar
-
Автор nikitapatek
Здравствуйте.
Поймали вирус - шифровальщик, elpaco team. Все файлы зашифрованы, на расшифровку как понимаю надежды нет, но хотя бы прошу помочь пожалуйста с очисткой компьютера для возможности дальнейшей работы на нем без переустановки системы и не получить повторное заржение.
В процессе изучения обнаружилось, что был создан пользователь в системе новый с именем noname и из под него запущен шифровальщик. Видимо через какую-то уязвимость создали пользователя. Хотя RDP так же с выходом в сеть имелся на данной машине. Но под основного пользователя вроде бы как не заходили по RDP.
В папке system32 нашел bat файл с именем u1.bat с помощью которого создали как раз таки видимо этого пользователя noname. В нем виден пароль с которым они создали этого пользователя, хоть и не уверен что от этого есть толк.
А так же в system32 были найдены непонятные файлы еще, предположительно тоже появившиеся в момент заражения и шифровки. Ну и в каалоге temp пользователя тоже были некие странные файлы так же видимо в результате заражения. Расширения .dat, .tmp и .ini. Собрал эти файлы соответственно в архив файлы из system 32 и temp пользователя noname.zip
Сам шифровальщик ELPACO-team.exe с рабочего стола пользователя noname, письмо с требованием, и bat файл close.bat. Который видимо запускают перед шированием что бы убить задачи все антивирусов, программ резервного копирования и т.д.
Их приложил в архив шифровальщик.zip , пароль virus.
Ну и несколько образцов зараженных файлов соответствующий архив.
Логи по инструкции так же приложил.
шифроальщик.zip файлы из system 32 и temp пользователя noname.rar Образцы зашифрованных файлов.zip FRST.txt Addition.txt
-
Автор Binomial
Добрый день! Подскажите пожалуйста , появился ли дешифратор или как-то можно вылечить ELPACO-team , Your decryption ID is Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***_*ELPACO-team-Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***
-
Автор DeepX
Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
Addition.txt FRST.txt files.zip
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти