Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.

Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!

Addition.txt FRST.txt files.zip

Опубликовано (изменено)

Возможно запуск шифровальщика был на другом устройстве.

 

Покажите содержимое папки

2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

 

Изменено пользователем safety
Опубликовано

Не понял как мне узнать, что за устройство 2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC ?

 

Если тоже устройство где сканировал, то прикладываю скрин. Если надо содержимое могу приложить архив.image.thumb.jpeg.570de44e0e107545af0e8e2a54ad5104.jpeg

 

А папку с таким именем не нашёл

Опубликовано
35 минут назад, safety сказал:

Покажите содержимое папки

2024-12-09 03:40 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

Папка здесь C:\temp

Разве это не очевидно?

Судя по скрину, следов запуска шифровальщика на этом устройстве нет.

Значит запуск был на другом устройстве, на остальных серверах было шифрование расшаренных ресурсов.

Логи FRST нужны именно с сервера, где был запуск шифровальщика.

На нем в папке C:\Temp будет файл session.tmp

Опубликовано

Спасибо. Сейчас поищу

 

Не все сервера пересмотрел, но на одном нашёл вот такую папку. Может помочь?image.thumb.jpeg.b8f055a9ebaa989ef9379563c34ac982.jpeg

Опубликовано

Лучше логи FRST сделайте, там все видно будет. Был запуск на нем шифровальщика или нет.

Опубликовано

session.tmp не нашёл нигде. Подскажите, какпонять, где FRST запускать? Что искать в логах?

 

Опубликовано (изменено)

Возможно запуск шифровальщика был не на сервере, а на каком то из устройств/рабочих станций в ЛС

 

Цитата

Удалил теневые копии.

Проверьте там, где были удалены теневые копии

Изменено пользователем safety
Опубликовано

На ex0 смотрели папку C:\temp, есть в ней session.tmp?

2024-12-09 13:30 - 2022-10-27 13:58 - 000000000 ___DC C:\temp

+

Проверьте ЛС.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Алеся Сорокина
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • Андрей007090
      Автор Андрей007090
      Помогите пожалуйста поймал шифровальщика 
      С и Д диски оба зашифрованы 
      С - переустановил 
      Д остался там все данные что нужны 
      Помогите  пожалуйста фото прикрепил 
       
      Что надо сделать что бы приложить суда коды ошибок или что именно зип архив ? 

    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • bakankovaelena
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
    • a_d_69
      Автор a_d_69
      Поймали шифровальщика, по возможности можете сказать есть возможно расшифровать. Логи через FRST добавили. Пароль на архив 123
      977Fast.rar Архив.zip Addition.txt FRST.txt
×
×
  • Создать...