Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.

Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!

Addition.txt FRST.txt files.zip

Опубликовано (изменено)

Возможно запуск шифровальщика был на другом устройстве.

 

Покажите содержимое папки

2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

 

Изменено пользователем safety
Опубликовано

Не понял как мне узнать, что за устройство 2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC ?

 

Если тоже устройство где сканировал, то прикладываю скрин. Если надо содержимое могу приложить архив.image.thumb.jpeg.570de44e0e107545af0e8e2a54ad5104.jpeg

 

А папку с таким именем не нашёл

Опубликовано
35 минут назад, safety сказал:

Покажите содержимое папки

2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

Папка здесь C:\temp

Разве это не очевидно?

Судя по скрину, следов запуска шифровальщика на этом устройстве нет.

Значит запуск был на другом устройстве, на остальных серверах было шифрование расшаренных ресурсов.

Логи FRST нужны именно с сервера, где был запуск шифровальщика.

На нем в папке C:\Temp будет файл session.tmp

Опубликовано

Спасибо. Сейчас поищу

 

Не все сервера пересмотрел, но на одном нашёл вот такую папку. Может помочь?image.thumb.jpeg.b8f055a9ebaa989ef9379563c34ac982.jpeg

Опубликовано

Лучше логи FRST сделайте, там все видно будет. Был запуск на нем шифровальщика или нет.

Опубликовано

session.tmp не нашёл нигде. Подскажите, какпонять, где FRST запускать? Что искать в логах?

 

Опубликовано (изменено)

Возможно запуск шифровальщика был не на сервере, а на каком то из устройств/рабочих станций в ЛС

 

Цитата

Удалил теневые копии.

Проверьте там, где были удалены теневые копии

Изменено пользователем safety
Опубликовано

Здесь тоже нет признаков запуска шифровальщика.

Опубликовано

На ex0 смотрели папку C:\temp, есть в ней session.tmp?

2024-12-09 13:30 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

+

Проверьте ЛС.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Dmitry.K
      Автор Dmitry.K
      Здравствуйте, все файлы на рабочем сервере зашифрованы, выглядят примерно вот так:
      Предыдущий админ бэкапов не делал
       
      PUBID_1417896-20210406_ВыгрузкаЗагрузкаИзбранного.epf.WWWWW-vuSRP-NeSC-8GVhkGC2CoADRAf6mTQYNKCc4TqWbgzY
       
      Прикладываю лог frst и архив с файлами
      Addition.txt encrypted_samples.7z FRST.txt
    • Lord2454
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ELF_11
      Автор ELF_11
      Зашифровали базы 1с. Прошу помощи.
      Addition.txt FRST.txt Новая папка.rar
    • Oleg_krsk
      Автор Oleg_krsk
      Здравия! Зашифрованы данные:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by UVE
      Your decryption ID is BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw*uve-BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - cristi@mailum.com
      2) Telegram - @cristi025 or https://t.me/cristi025
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
       
      Помогите расшифровать!
    • SEDEK
      Автор SEDEK
      Добрый день! Наша компания столкнулась с мошенниками, которые заразили все сервера под управлением виндовс сервер. Очень прошу помочь, так как встали все рабочие процессы и офис не может функционировать.
       
      ZUT - Windows Server 2019
      Angel - Windows Server 2012 R2
      ZVID - Windows Server 2019
      Версия везде одна и та же keswin_12.10.0.466_ru_aes256.exe
      578A3A89.key
          Kaspersky Security for WS and FS
      578A3A88.key
          Kaspersky Security Center
       
       
      Addition.txt FRST.txt file .zip
×
×
  • Создать...