Перейти к содержанию

Вирус шифровальщик заменил расширения на Elpaco-team

DenSyaoLin
 Share

Рекомендуемые сообщения

DenSyaoLin Новичок

DenSyaoLin

Опубликовано
Опубликовано (изменено)

добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С нет доступа к бэкапам и точкам восстановления. читал темы, и понимаю что дешифратора от этой гадости еще нет, хотелось бы надеяться на чудо и может вдруг что то получится. спасибо заранее

по тому что уже сделал, выполнил проверку касперским, что то он нашел, удалил, а вот что нашел не подскажу, оставлял проверку на ночь.

необходимые файлы прикладываю

Addition.txt Files.rar FRST.txt

Изменено пользователем DenSyaoLin
случайно опубликовал недописанный пост
Ссылка на комментарий
Поделиться на другие сайты
DenSyaoLin Новичок

DenSyaoLin

Опубликовано
  • Автор
Опубликовано
10 минут назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

сорри, случайно нажал Enter, и тема опубликовалась, все поправил

 

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

В этой папке покажите что осталось, папка может быть с атрибутом hidden:

2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8

 

Ссылка на комментарий
Поделиться на другие сайты
DenSyaoLin Новичок

DenSyaoLin

Опубликовано
  • Автор
Опубликовано

множество файлов данного типа с последовательной нумерацией, в конце вот эти файлы, так понимаю Сессион.тмр может быть вреден

1 час назад, safety сказал:

В этой папке покажите что осталось, папка может быть с атрибутом hidden:

2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8

 

 

Снимок экрана 2024-12-28 195451.png

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

session.tmp - это сессионный публичный ключ, которым выполняется шифрование, в расшифровке файлов он не поможет.

 

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-26 12:40 - 2024-12-26 18:51 - 000000967 _____ C:\Users\bux3\Desktop\Decrypt_ELPACO-team_info.txt
2024-12-26 12:33 - 2024-12-26 18:57 - 000000967 _____ C:\Users\bux3\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-12-26 12:32 - 2024-12-26 18:56 - 000000000 ____D C:\temp
2024-12-14 18:05 - 2024-09-09 14:11 - 000000668 _____ C:\Users\Администратор\advanced_ip_scanner_MAC.bin
2024-12-14 18:05 - 2024-09-09 14:11 - 000000015 _____ C:\Users\Администратор\advanced_ip_scanner_Comments.bin
2024-12-14 18:05 - 2024-09-09 14:11 - 000000015 _____ C:\Users\Администратор\advanced_ip_scanner_Aliases.bin
2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • DeepX
      Поймали шифровальщика ELPACO-team
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      Тоже Поймали шифровальщика ELPACO-team
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • Forrestem
      Вирус-шифровальщик Elpaco-team
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • ООО Арт-Гарант
      Атака ELPACO-team
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • Шустов А.В.
      Поймали шифровальщика ELPACO-team
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
×
×
  • Создать...