Тоже Поймали шифровальщика ELPACO-team
Автор
Максим Шахторин
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
Автор DeepX
Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
Addition.txt FRST.txt files.zip
-
Автор Шустов А.В.
Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
Файлы ELPACO-team.ZIP Addition.txt FRST.txt
-
Автор dtropinin
Здравствуйте специалисты.
вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
выключил быстро комп.
в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
Диск E - вообще не пострадал.
Диск М - вообще не пострадал.
На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
Одна из них - Win7.
На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
---------------------------------------
В системе установлена служба.
Имя службы: KProcessHacker3
Имя файла службы: C:\Program Files\Process Hacker 2\kprocesshacker.sys
Тип службы: драйвер режима ядра
Тип запуска службы: Вручную
Учетная запись службы:
---------------------------------------
далее я нашел на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
-
Автор Flange
Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете восстановить их?
Addition.txt FRST.txt Garantiinyi_talon_Wolf.pdf.zip
-
Автор Malsim
Добрый день!
Прошу помощи с шифровальщиком-вымогателем ELPACO.
Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении.
Заранее спасибо!
Virus.rar
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти