Перейти к содержанию
Задай вопрос Алексею Тодирашу!

Поймали шифровальщика ELPACO-team

Шустов А.В.
 Share

Рекомендуемые сообщения

Шустов А.В. Новичок

Шустов А.В.

Опубликовано
Опубликовано

Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.

Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.

Файлы ELPACO-team.ZIP Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы 

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-10-05 21:43 - 2024-10-05 21:43 - 000000969 _____ C:\Decrypt_ELPACO-team_info.txt
2024-10-04 22:40 - 2024-10-05 21:43 - 000000969 _____ C:\Users\shustov-av.AIS-NPP\Desktop\Decrypt_ELPACO-team_info.txt
2024-10-04 17:46 - 2024-10-04 22:31 - 000000969 _____ C:\Users\shustov-av.AIS-NPP\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-10-04 17:45 - 2024-10-04 17:45 - 000000000 ____D C:\Users\shustov-av.AIS-NPP\AppData\Roaming\Process Hacker 2
2024-10-04 17:44 - 2024-10-04 22:04 - 000000000 ____D C:\temp
2024-10-05 13:40 - 2022-02-06 15:33 - 000000000 __SHD C:\Users\shustov-av.AIS-NPP\AppData\Local\52E5C2D3-0B1B-CF33-C8F5-11A4935AEF33
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Возможно, вы дважды исполнили скрипт.

Цитата

HKLM\software\microsoft\windows\currentversion\policies\system\\"LegalNoticeText"="" => значение успешно восстановлен
"C:\ProgramData\NTUSER.pol" => не найдено
"C:\Decrypt_ELPACO-team_info.txt" => не найдено
"C:\Users\shustov-av.AIS-NPP\Desktop\Decrypt_ELPACO-team_info.txt" => не найдено
"C:\Users\shustov-av.AIS-NPP\AppData\Local\Decrypt_ELPACO-team_info.txt" => не найдено
"C:\Users\shustov-av.AIS-NPP\AppData\Roaming\Process Hacker 2" => не найдено
"C:\temp" => не найдено
"C:\Users\shustov-av.AIS-NPP\AppData\Local\52E5C2D3-0B1B-CF33-C8F5-11A4935AEF33" => не найдено

Скрипт не расшифровывает файлы, а только выполняет очистку системы.

 

С расшифровкой по данному типу шифровальщика не сможет вам помочь без приватного ключа.

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

судя по составу карантина система в основном очищена от тел шифровальщика за исключением зашифрованных файлов. С этим пока проблемы. Уже в течение двух лет.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

стоит сохранить важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Поймают злоумышленников через интерпол, или они сами сольют приватные ключи в общий доступ, что конечно маловероятно.

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • DeepX
      Поймали шифровальщика ELPACO-team
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      Тоже Поймали шифровальщика ELPACO-team
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • ООО Арт-Гарант
      Атака ELPACO-team
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • Forrestem
      Вирус-шифровальщик Elpaco-team
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Malsim
      Шифровальщик ELPACO-team
      От Malsim
      Добрый день!
       
      Прошу помощи с шифровальщиком-вымогателем ELPACO.
       
      Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении. 
       
      Заранее спасибо!
       
      Virus.rar
×
×
  • Создать...