Перейти к содержанию

Поймали шифровальщика ELPACO-team

DeepX
 Поделиться

Рекомендуемые сообщения

DeepX

DeepX

Опубликовано
Опубликовано

Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.

Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!

Addition.txt FRST.txt files.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно запуск шифровальщика был на другом устройстве.

 

Покажите содержимое папки

2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

 

Изменено пользователем safety
DeepX

DeepX

Опубликовано
  • Автор
Опубликовано

Не понял как мне узнать, что за устройство 2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC ?

 

Если тоже устройство где сканировал, то прикладываю скрин. Если надо содержимое могу приложить архив.image.thumb.jpeg.570de44e0e107545af0e8e2a54ad5104.jpeg

 

А папку с таким именем не нашёл

safety

safety

Опубликовано
Опубликовано
35 минут назад, safety сказал:

Покажите содержимое папки

2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

Папка здесь C:\temp

Разве это не очевидно?

Судя по скрину, следов запуска шифровальщика на этом устройстве нет.

Значит запуск был на другом устройстве, на остальных серверах было шифрование расшаренных ресурсов.

Логи FRST нужны именно с сервера, где был запуск шифровальщика.

На нем в папке C:\Temp будет файл session.tmp

DeepX

DeepX

Опубликовано
  • Автор
Опубликовано

Спасибо. Сейчас поищу

 

Не все сервера пересмотрел, но на одном нашёл вот такую папку. Может помочь?image.thumb.jpeg.b8f055a9ebaa989ef9379563c34ac982.jpeg

safety

safety

Опубликовано
Опубликовано

Лучше логи FRST сделайте, там все видно будет. Был запуск на нем шифровальщика или нет.

DeepX

DeepX

Опубликовано
  • Автор
Опубликовано

session.tmp не нашёл нигде. Подскажите, какпонять, где FRST запускать? Что искать в логах?

 

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно запуск шифровальщика был не на сервере, а на каком то из устройств/рабочих станций в ЛС

 

Цитата

Удалил теневые копии.

Проверьте там, где были удалены теневые копии

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Здесь тоже нет признаков запуска шифровальщика.

safety

safety

Опубликовано
Опубликовано

На ex0 смотрели папку C:\temp, есть в ней session.tmp?

2024-12-09 13:30 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

+

Проверьте ЛС.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kalosha
      Поймали шифровальщик
      Автор kalosha
      Доброго времени суток. на компе поработал шифровальщик. прошу подсказать чем можно расшифровать все файлы. Логи прикрепил. Так же прикрепил файл с возможным ключом и с зашифрованным файлом в архиве session.rar
      CollectionLog-2026.01.14-09.38.zip session.rar
    • Salien
      Шифровальщик зашифровал все файлы на ПК
      Автор Salien
      Шифровальщик зашифровал все файлы на ПК, файлы имеют расширение .elpy и после него ID 
    • AntonK2402
      Зашифровались все файлы расширение WORM
      Автор AntonK2402
      Зашифровались все файлы  расширение WORM  
       
      как можно расшифровать ? 
    • AlexPh_Vl
      Шифровальщик зашифровал всё, очень нужна база 1С
      Автор AlexPh_Vl
      Добрый день, продолжение  темы 
      файлы уже были отправлены в вышеуказанной теме.
      Речь об одном и том же компьютере.
      Прислали дешифровщик, но после лечения (удаления вируса) он  выдает ошибки. Как передать данный дешифровщик и  данные для анализа?
    • farsh13
      Шифровальщик с расширением KASPERSKY
      Автор farsh13
      Добрый день. 
      Утром зашифровались все файлы и стали с расширением KASPERSKY
      Скан логи утилитой с зараженного ПК, текст вымогателя и несколько файлов прилагаю
      PHOTO-2018-05-31-17-30-46.jpg.rar Addition.txt FRST.txt Kaspersky_Decryption.txt
×
×
  • Создать...