Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик ELPACO-team el_kurva@tuta.io

arx
 Поделиться

Рекомендуемые сообщения

arx

arx

Опубликовано
Опубликовано

Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.

Addition.txt FRST.txt Требования.txt Скрины.rar

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Систему необходимо пролечить из под загрузочного диска KRD. так как есть признаки заражения вирусом Neshta

HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ

2024-09-22 10:27 - 2024-09-22 11:09 - 000041472 _____ C:\WINDOWS\svchost.com

после завершения проверки продолжим очистку системы

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы.

  

Start::
2024-09-22 10:47 - 2021-07-22 17:41 - 000000000 __SHD C:\Users\fttp\AppData\Local\788C6AA3-AAD0-3FF7-5B92-E3C8AFDFA43F
HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1014\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1018\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1021\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1025\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1029\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1035\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1058\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1059\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1060\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1063\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1064\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1065\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1066\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1067\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
2024-09-22 10:27 - 2024-09-22 13:43 - 000041472 _____ C:\WINDOWS\svchost.com
2024-09-20 23:58 - 2024-09-20 23:58 - 000000969 _____ C:\Users\fttp\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-09-20 23:58 - 2024-09-20 23:58 - 000000969 _____ C:\Decrypt_ELPACO-team_info.txt
2024-09-20 23:58 - 2024-09-20 23:58 - 000000000 ____D C:\Users\fttp\AppData\Roaming\Process Hacker 2
2024-09-20 23:58 - 2024-09-20 23:58 - 000000000 ____D C:\temp
2024-09-20 23:49 - 2024-09-20 23:49 - 000000000 ____D C:\ProgramData\IObit
2024-09-20 23:49 - 2024-09-20 23:49 - 000000000 ____D C:\Program Files (x86)\IObit
fttp (S-1-5-21-4234523307-78177539-2735978336-1067 - Limited - Disabled) => C:\Users\fttp
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Denys Kordelski
      Шифровальщик Hunter-X@tuta.io].HUNTER
      Автор Denys Kordelski
      ??? Какой утилитой можно спасти Фалы с расширением - [Hunter-X@tuta.io].HUNTER             Которые появились после вируса шифровщика.. Был бы очень благодарен за пмошь.
    • ant1tr3nd
      Заражён шифровальщиком Hunter-X@tuta.io
      Автор ant1tr3nd
      Добрый день. Сервер был заражен шифровальщиком. 
      Все файлы он переименовал и добавил расширение
      ~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
      Вот как выглядит зашифрованный файл. Раньше назывался просто АНАЛИЗ 2020
      Прошу помочь(
       
    • Binomial
      ELPACO-team
      Автор Binomial
      Добрый день! Подскажите пожалуйста , появился ли дешифратор или как-то можно вылечить   ELPACO-team , Your decryption ID is Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***_*ELPACO-team-Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***
       
    • Restinn
      Шифровальщик blackFL
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
    • Алексей Новиков
      Шифровальщик @gotchadec
      Автор Алексей Новиков
      Добрый день. Помогите в расшифровке  Прикрепил файлы и текстовый док 
      Fixlog.txt
      8.3.19.1522.rar
×
×
  • Создать...