Перейти к содержанию

Зашифровались файлы, ELPACO-TEAM

Эдуард Autofresh

Автор Эдуард Autofresh
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Эдуард Autofresh

Эдуард Autofresh

Опубликовано
Опубликовано

Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.

 

photo_2024-11-04_13-23-36 (2).jpg

photo_2024-11-04_13-23-36.jpg

photo_2024-11-04_10-12-15.jpg

FRST.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Саму записку (один из файлов с именем Decrypt_ELPACO-team_info.txt) тоже прикрепите к следующему сообщению.

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Run: [systemsg.exe] => C:\Users\Adnis\AppData\Local\Decrypt_ELPACO-team_info.txt [969 2024-11-04] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\Adnis\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Владелец\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-11-04 00:06 - 2024-11-04 00:06 - 000000000 ____D C:\temp
2024-11-04 03:27 - 2023-02-10 04:32 - 000000000 __SHD C:\Users\Adnis\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
1 час назад, Эдуард Autofresh сказал:

На первом зараженном компьютере диспетчер задач не открывается.

после выполнения скрипта должен  заработать. (Запуск был блокирован таким образом)

IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe

 

safety

safety

Опубликовано
Опубликовано

Журналы событий скорее всего зачищены

Цитата

[03:27:37] [+] Success run: wevtutil.exe cl security (pid:2448)
[03:27:37] [+] Success run: wevtutil.exe cl system (pid:1880)
[03:27:37] [+] Success run: wevtutil.exe cl application (pid:1672)

атакованы были еще три устройства:

Цитата

[00:06:50] [x] \\192.168.2.61\C$
[00:06:50] [x] \\192.168.2.157\C$
[00:06:50] [x] \\192.168.2.132\C$


 

 

Эдуард Autofresh

Эдуард Autofresh

Опубликовано
  • Автор
Опубликовано
Только что, safety сказал:

Журналы событий скорее всего зачищены

атакованы были еще три устройства:


 

 

[00:06:50] [x] \\192.168.2.132\C$ на данном ip нет ни 1 зашифрованного файла...

[00:06:50] [x] \\192.168.2.61\C$ на этом ip зашифрованы файлы в папке, куда был настроен доступ для бэкапов с зараженного компа

[00:06:50] [x] \\192.168.2.157\C$ не могу найти в сети...

 

safety

safety

Опубликовано
Опубликовано

Возможно, тогда запуск был  еще на одном устройстве.

Сделайте по всем зашифрованным устройствам, которые обнаружены так же логи FRST

Эдуард Autofresh

Эдуард Autofresh

Опубликовано
  • Автор
Опубликовано

А по этим логам можете что то сказать? тоже файлы зашифрованы

Addition.txt FRST.txt

Надо ли этот компьютер лечить?

И вот основной сервер... 

Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Файл шифровальщика не нашел.

самоудалились после завершения шифрования.

Цитата

"C:\Users\Adnis\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620\systemsg.exe" & cd /d "C:\Users\Adnis\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620" & Del /f /q /a *.exe *.ini *.dll *.bat *.db" (pid:2572)

 

по последним логам:

 

Здесь нет следов запуска шифровальщика, шифрование файлов было по сетевым шарам одним и тем же ключом.

***dBkQ

 

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Binomial
      ELPACO-team
      Автор Binomial
      Добрый день! Подскажите пожалуйста , появился ли дешифратор или как-то можно вылечить   ELPACO-team , Your decryption ID is Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***_*ELPACO-team-Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***
       
    • Tatarinrus
      Зашифровали файлы (ELPACO -team), требуют выкуп!
      Автор Tatarinrus
      Decryption_INFO.txt
    • Alexandr_
      заразился ELPACO-team
      Автор Alexandr_
      Добрый день, помогите победить шифровальщик от Elpaco-team, зашифровал документы и  базу 1С (
      Надеюсь на Вашу помощь
      Addition.txt Decrypt_ELPACO-team_info.txt filespdf.rar FRST.txt
    • zummer900
      Попали на ELPACO-team
      Автор zummer900
      Добрый день.
      В ночь и нас накрыли данные ребята. 
      Прекрасно понимаю что расшифровать нельзя. Зашифровали все .exe файлы. То есть система под снос. 
       
      Вопрос как понять откуда пошло ?
      Как вычислить на других машинах ?
       
       
      парк тачек большой. По RDP на ружу смотрела пару машин. Но не с одной из них доступа к серверам 1с не было, но он тоже лег. Внутри локалки в 1с ходят по RDP....думаю в этом и причина. 
      Зашифрованы и сетевые папки по самбе. Файловая помойка на линуксе OMV. На ней поднята самба и расшарены файлы.
       
      Addition.txt Decryption_INFO.txt FRST.txt filevirus.rar
    • dtropinin
      ELPACO-team шифровальщик.
      Автор dtropinin
      Здравствуйте специалисты.
      вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
      выключил быстро комп.
      в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
      Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
      Диск E - вообще не пострадал.
      Диск М - вообще не пострадал.
      На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
      Одна из них - Win7.
      На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
      Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
      Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
      ---------------------------------------
      В системе установлена служба.
      Имя службы:  KProcessHacker3
      Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
      Тип службы:  драйвер режима ядра
      Тип запуска службы:  Вручную
      Учетная запись службы: 
      ---------------------------------------
      далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
       
      Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
      так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
       
       
       
       
       

×
×
  • Создать...