Перейти к содержанию

Поймали шифровальщика ELPACO-team

DeepX
 Поделиться

Рекомендуемые сообщения

DeepX Новичок

DeepX

Опубликовано
Опубликовано

Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.

Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!

Addition.txt FRST.txt files.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно запуск шифровальщика был на другом устройстве.

 

Покажите содержимое папки

2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
DeepX Новичок

DeepX

Опубликовано
  • Автор
Опубликовано

Не понял как мне узнать, что за устройство 2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC ?

 

Если тоже устройство где сканировал, то прикладываю скрин. Если надо содержимое могу приложить архив.image.thumb.jpeg.570de44e0e107545af0e8e2a54ad5104.jpeg

 

А папку с таким именем не нашёл

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
35 минут назад, safety сказал:

Покажите содержимое папки

2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

Папка здесь C:\temp

Разве это не очевидно?

Судя по скрину, следов запуска шифровальщика на этом устройстве нет.

Значит запуск был на другом устройстве, на остальных серверах было шифрование расшаренных ресурсов.

Логи FRST нужны именно с сервера, где был запуск шифровальщика.

На нем в папке C:\Temp будет файл session.tmp

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно запуск шифровальщика был не на сервере, а на каком то из устройств/рабочих станций в ЛС

 

Цитата

Удалил теневые копии.

Проверьте там, где были удалены теневые копии

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Binomial
      ELPACO-team
      Автор Binomial
      Добрый день! Подскажите пожалуйста , появился ли дешифратор или как-то можно вылечить   ELPACO-team , Your decryption ID is Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***_*ELPACO-team-Ph6vKpOhc4ZwyVFl3WRtD6SKaFeqgQNDtdbo_***
       
    • Alexandr_
      заразился ELPACO-team
      Автор Alexandr_
      Добрый день, помогите победить шифровальщик от Elpaco-team, зашифровал документы и  базу 1С (
      Надеюсь на Вашу помощь
      Addition.txt Decrypt_ELPACO-team_info.txt filespdf.rar FRST.txt
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Dmitryplss
      Вирус шифровальщик заменил расширения на Elpaco-team
      Автор Dmitryplss
      Добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С, в локальной сети так же зашифрованные файлы
      File.rar Addition.txt FRST.txt
    • ViZorT
      Поймал шифровальщик blackpanther@mailum
      Автор ViZorT
      Поймали шифровальщик blackpanther@mailum.
      ОС не переустанавливалась.
      Прошу помощи.
      Файл шифровальщика, предположительно, удалось найти. Имеется архив с ним.
      Спасибо.
      Addition.txt Desktop.rar FRST.txt
×
×
  • Создать...