Перейти к содержанию

Шифровальщик ELPACO-team el_kurva@tuta.io


Рекомендуемые сообщения

Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.

Addition.txt FRST.txt Требования.txt Скрины.rar

Ссылка на комментарий
Поделиться на другие сайты

Систему необходимо пролечить из под загрузочного диска KRD. так как есть признаки заражения вирусом Neshta

HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ

2024-09-22 10:27 - 2024-09-22 11:09 - 000041472 _____ C:\WINDOWS\svchost.com

после завершения проверки продолжим очистку системы

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы.

 

Start::
2024-09-22 10:47 - 2021-07-22 17:41 - 000000000 __SHD C:\Users\fttp\AppData\Local\788C6AA3-AAD0-3FF7-5B92-E3C8AFDFA43F
HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1014\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1018\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1021\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1025\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1029\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1035\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1058\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1059\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1060\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1063\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1064\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1065\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1066\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1067\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
2024-09-22 10:27 - 2024-09-22 13:43 - 000041472 _____ C:\WINDOWS\svchost.com
2024-09-20 23:58 - 2024-09-20 23:58 - 000000969 _____ C:\Users\fttp\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-09-20 23:58 - 2024-09-20 23:58 - 000000969 _____ C:\Decrypt_ELPACO-team_info.txt
2024-09-20 23:58 - 2024-09-20 23:58 - 000000000 ____D C:\Users\fttp\AppData\Roaming\Process Hacker 2
2024-09-20 23:58 - 2024-09-20 23:58 - 000000000 ____D C:\temp
2024-09-20 23:49 - 2024-09-20 23:49 - 000000000 ____D C:\ProgramData\IObit
2024-09-20 23:49 - 2024-09-20 23:49 - 000000000 ____D C:\Program Files (x86)\IObit
fttp (S-1-5-21-4234523307-78177539-2735978336-1067 - Limited - Disabled) => C:\Users\fttp
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • DeepX
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • DenSyaoLin
      От DenSyaoLin
      добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С нет доступа к бэкапам и точкам восстановления. читал темы, и понимаю что дешифратора от этой гадости еще нет, хотелось бы надеяться на чудо и может вдруг что то получится. спасибо заранее
      по тому что уже сделал, выполнил проверку касперским, что то он нашел, удалил, а вот что нашел не подскажу, оставлял проверку на ночь.
      необходимые файлы прикладываю
      Addition.txt Files.rar FRST.txt
    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
×
×
  • Создать...