Перейти к содержанию

Поймали шифровальщика ELPACO-team

Шустов А.В.

Автор Шустов А.В.
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы 

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-10-05 21:43 - 2024-10-05 21:43 - 000000969 _____ C:\Decrypt_ELPACO-team_info.txt
2024-10-04 22:40 - 2024-10-05 21:43 - 000000969 _____ C:\Users\shustov-av.AIS-NPP\Desktop\Decrypt_ELPACO-team_info.txt
2024-10-04 17:46 - 2024-10-04 22:31 - 000000969 _____ C:\Users\shustov-av.AIS-NPP\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-10-04 17:45 - 2024-10-04 17:45 - 000000000 ____D C:\Users\shustov-av.AIS-NPP\AppData\Roaming\Process Hacker 2
2024-10-04 17:44 - 2024-10-04 22:04 - 000000000 ____D C:\temp
2024-10-05 13:40 - 2022-02-06 15:33 - 000000000 __SHD C:\Users\shustov-av.AIS-NPP\AppData\Local\52E5C2D3-0B1B-CF33-C8F5-11A4935AEF33
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Шустов А.В.

Шустов А.В.

Опубликовано
  • Автор
Опубликовано

Сделал. Как-то быстро FRST моргнул и ни чего не изменилось.

Fixlog.txt вложил.

Сейчас сделаю архив и выложу в облако.

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно, вы дважды исполнили скрипт.

Цитата

HKLM\software\microsoft\windows\currentversion\policies\system\\"LegalNoticeText"="" => значение успешно восстановлен
"C:\ProgramData\NTUSER.pol" => не найдено
"C:\Decrypt_ELPACO-team_info.txt" => не найдено
"C:\Users\shustov-av.AIS-NPP\Desktop\Decrypt_ELPACO-team_info.txt" => не найдено
"C:\Users\shustov-av.AIS-NPP\AppData\Local\Decrypt_ELPACO-team_info.txt" => не найдено
"C:\Users\shustov-av.AIS-NPP\AppData\Roaming\Process Hacker 2" => не найдено
"C:\temp" => не найдено
"C:\Users\shustov-av.AIS-NPP\AppData\Local\52E5C2D3-0B1B-CF33-C8F5-11A4935AEF33" => не найдено

Скрипт не расшифровывает файлы, а только выполняет очистку системы.

 

С расшифровкой по данному типу шифровальщика не сможет вам помочь без приватного ключа.

+

проверьте ЛС.

Изменено пользователем safety
Шустов А.В.

Шустов А.В.

Опубликовано
  • Автор
Опубликовано

Ссылку на архив папки Quarantine отправил в ЛС.

safety

safety

Опубликовано
Опубликовано

судя по составу карантина система в основном очищена от тел шифровальщика за исключением зашифрованных файлов. С этим пока проблемы. Уже в течение двух лет.

Шустов А.В.

Шустов А.В.

Опубликовано
  • Автор
Опубликовано

Жаль, что не расшифровать. В любом случае спасибо за помощь.

safety

safety

Опубликовано
Опубликовано

стоит сохранить важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Поймают злоумышленников через интерпол, или они сами сольют приватные ключи в общий доступ, что конечно маловероятно.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DeepX
      Поймали шифровальщика ELPACO-team
      Автор DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      Тоже Поймали шифровальщика ELPACO-team
      Автор Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • dtropinin
      ELPACO-team шифровальщик.
      Автор dtropinin
      Здравствуйте специалисты.
      вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
      выключил быстро комп.
      в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
      Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
      Диск E - вообще не пострадал.
      Диск М - вообще не пострадал.
      На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
      Одна из них - Win7.
      На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
      Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
      Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
      ---------------------------------------
      В системе установлена служба.
      Имя службы:  KProcessHacker3
      Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
      Тип службы:  драйвер режима ядра
      Тип запуска службы:  Вручную
      Учетная запись службы: 
      ---------------------------------------
      далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
       
      Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
      так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
       
       
       
       
       

    • Flange
      Шифровальщик ELPACO-team
      Автор Flange
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
       
      Addition.txt FRST.txt Garantiinyi_talon_Wolf.pdf.zip
    • Malsim
      Шифровальщик ELPACO-team
      Автор Malsim
      Добрый день!
       
      Прошу помощи с шифровальщиком-вымогателем ELPACO.
       
      Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении. 
       
      Заранее спасибо!
       
      Virus.rar
×
×
  • Создать...