Перейти к содержанию

Рекомендуемые сообщения

Во всех расшареных папках зашифрованы файлы.

Файлы имеют расширение ELPACO-team-***gCG***

в некоторых папках лежит письмо с текстом

 

Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
Your data is encrypted by ELPACO-team
Your decryption ID is *****QR14*ELPACO-team-gCG****
Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
The only method of recovering files is to purchase decrypt tool and unique key for you.
If you want to recover your files, write us
1) eMail - el_kurva@tuta.io
2) Telegram - @DataSupport911

Attention!

Do not rename encrypted files. 
Do not try to decrypt your data using third party software - it may cause permanent data loss. 
We are always ready to cooperate and find the best way to solve your problem. 
The faster you write - the more favorable conditions will be for you. 
Our company values its reputation. We give all guarantees of your files decryption.

 

Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)

Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.

 

 

Молотки Можайск.pdf.zip

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Поймали шифровальщика.

 

Во всех расшареных папках зашифрованы файлы.

Файлы имеют расширение ELPACO-team-gCGi***

в некоторых папках лежит письмо с текстом

прилагаю один файл pdf

Один файл DOC

Записка от шифрователей

файлы от программы Farbar Recovery Scan Tool

 

Зашифрованные файлы.zip Addition.txt FRST.txt

Decrypt_ELPACO-team_info.txt

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
Изменено пользователем safety
забыл приложить записку от шифрователей
Ссылка на сообщение
Поделиться на другие сайты

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

 

Start::
HKLM\...\Run: [systemsg.exe] => C:\Users\1\AppData\Local\Decrypt_ELPACO-team_info.txt [969 2024-09-26] () [Файл не подписан]
HKLM\...\Policies\Explorer\Run: [58825] => C:\PROGRA~3\LOCALS~1\Temp\ccvpxis.bat
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1860753231-224106-3884767442-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-1860753231-224106-3884767442-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
CHR HKU\S-1-5-21-1860753231-224106-3884767442-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKU\S-1-5-21-1860753231-224106-3884767442-1024\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [cinbbhdcfmieecfcfbchhipanhahhonb]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
2024-09-26 20:47 - 2024-09-26 20:47 - 000000969 _____ C:\Users\Decrypt_ELPACO-team_info.txt
2024-09-26 20:47 - 2024-09-26 20:47 - 000000969 _____ C:\Users\1\Desktop\Decrypt_ELPACO-team_info.txt
2024-09-26 10:42 - 2024-09-26 20:47 - 000000969 _____ C:\Decrypt_ELPACO-team_info.txt
2024-09-26 10:42 - 2024-09-26 20:35 - 000000969 _____ C:\Users\1\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-09-04 15:28 - 2024-09-04 15:28 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-09-04 15:28 - 2024-09-04 15:28 - 000000000 ____D C:\ProgramData\IObit
2024-09-04 15:28 - 2024-09-04 15:28 - 000000000 ____D C:\Program Files (x86)\IObit
2024-09-04 15:27 - 2024-09-27 14:42 - 002988935 _____ C:\rdpwrap.txt
2024-09-04 15:27 - 2024-09-04 15:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-09-04 15:27 - 2024-09-04 15:27 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-09-04 12:58 - 2024-09-04 12:58 - 000000437 _____ C:\Windows\system32\u1.bat
2024-09-27 07:01 - 2023-02-10 04:32 - 000000000 __SHD C:\Users\1\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

Не совсем понял инструкцию.

Вначале скопировал текст скрипта, запустил FRST

там нажал кнопку исправить

не знал куда вставить текст. компьютер перезагрузился и я поучил файл Fixlog.txt

потом прочитал инструкцию на другом сайте, что скрипт надо записывать в блокнот с именем fixlist.txt

Я так и сделал и запустил исправить - получил новый файл Fixlog.txt

во вложении Fixlog1.txt

это когда я просто скопировал текст скрипта и запустил исправить

Fixlog.txt это файл когда я создал текстовый файл fixlist.txt (внутри текст со скриптом, который Вы написали выше)

и после этого нажал исправить.

 

Вот ссылка на архив, пароль virus

ссылка удалена

 

Fixlog.txt Fixlog1.txt

Изменено пользователем safety
из темы тему приходится писать, чтобы ссылки на архив с удаленными файлами передавались только через личные сообщения.
Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Insaff сказал:

там нажал кнопку исправить

не знал куда вставить текст. компьютер перезагрузился и я поучил файл Fixlog.txt

потом прочитал инструкцию на другом сайте, что скрипт надо записывать в блокнот с именем fixlist.txt

Достаточно скопировать текст скрипта в буфер обмена: т.е. выделить полностью скрипт и через Ctrl+C он копируется в буфер обмена.

Вставлять его никуда не надо. Закрываем браузер. (Скрипт по прежнему хранится в буфере обмена)

Переходим в окно c FRST нажимаем "исправить". FRST извлечет скрипт из буфера обмена и автоматически его выполнит.

Раньше это работало только через сохранение скрипта в файл fixlist.txt, который надо положить в папку с FRST.

Сейчас работает и через буфер обмена и через файл fixlist.txt

-------------

К сожалению, по данному типу шифровальщика не сможем помочь без приватного ключа.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Alexey9009
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
    • bakanov
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.