Перейти к содержанию

Шифровальщик ELPACO-team el_kurva@tuta.io

arx
 Share

Рекомендуемые сообщения

arx Новичок

arx

Опубликовано
Опубликовано

Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.

Addition.txt FRST.txt Требования.txt Скрины.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Систему необходимо пролечить из под загрузочного диска KRD. так как есть признаки заражения вирусом Neshta

HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ

2024-09-22 10:27 - 2024-09-22 11:09 - 000041472 _____ C:\WINDOWS\svchost.com

после завершения проверки продолжим очистку системы

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы.

  

Start::
2024-09-22 10:47 - 2021-07-22 17:41 - 000000000 __SHD C:\Users\fttp\AppData\Local\788C6AA3-AAD0-3FF7-5B92-E3C8AFDFA43F
HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1014\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1018\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1021\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1025\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1029\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1035\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1058\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1059\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1060\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1063\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1064\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1065\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1066\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1067\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
2024-09-22 10:27 - 2024-09-22 13:43 - 000041472 _____ C:\WINDOWS\svchost.com
2024-09-20 23:58 - 2024-09-20 23:58 - 000000969 _____ C:\Users\fttp\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-09-20 23:58 - 2024-09-20 23:58 - 000000969 _____ C:\Decrypt_ELPACO-team_info.txt
2024-09-20 23:58 - 2024-09-20 23:58 - 000000000 ____D C:\Users\fttp\AppData\Roaming\Process Hacker 2
2024-09-20 23:58 - 2024-09-20 23:58 - 000000000 ____D C:\temp
2024-09-20 23:49 - 2024-09-20 23:49 - 000000000 ____D C:\ProgramData\IObit
2024-09-20 23:49 - 2024-09-20 23:49 - 000000000 ____D C:\Program Files (x86)\IObit
fttp (S-1-5-21-4234523307-78177539-2735978336-1067 - Limited - Disabled) => C:\Users\fttp
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Синтезит
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • Евгений885
      Дешифратор для datastore@cyberfear.com
      От Евгений885
      Нужна помощь в дешифрации данных
      virus.rar Addition.txt
      FRST.txt файлы.rar
    • Marauders666
      Необходима помощь в расшифровке после Mimic
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • Эдуард Autofresh
      Зашифровались файлы, ELPACO-TEAM
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
    • Anix
      log работы ELPACO-team
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
×
×
  • Создать...