Перейти к содержанию

Вирус шифровальщик заменил расширения на Elpaco-team

DenSyaoLin
 Поделиться

Рекомендуемые сообщения

DenSyaoLin

DenSyaoLin

Опубликовано
Опубликовано (изменено)

добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С нет доступа к бэкапам и точкам восстановления. читал темы, и понимаю что дешифратора от этой гадости еще нет, хотелось бы надеяться на чудо и может вдруг что то получится. спасибо заранее

по тому что уже сделал, выполнил проверку касперским, что то он нашел, удалил, а вот что нашел не подскажу, оставлял проверку на ночь.

необходимые файлы прикладываю

Addition.txt Files.rar FRST.txt

Изменено пользователем DenSyaoLin
случайно опубликовал недописанный пост
safety

safety

Опубликовано
Опубликовано

В этой папке покажите что осталось, папка может быть с атрибутом hidden:

2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8

 

DenSyaoLin

DenSyaoLin

Опубликовано
  • Автор
Опубликовано

множество файлов данного типа с последовательной нумерацией, в конце вот эти файлы, так понимаю Сессион.тмр может быть вреден

1 час назад, safety сказал:

В этой папке покажите что осталось, папка может быть с атрибутом hidden:

2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8

 

 

Снимок экрана 2024-12-28 195451.png

safety

safety

Опубликовано
Опубликовано (изменено)

session.tmp - это сессионный публичный ключ, которым выполняется шифрование, в расшифровке файлов он не поможет.

 

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-26 12:40 - 2024-12-26 18:51 - 000000967 _____ C:\Users\bux3\Desktop\Decrypt_ELPACO-team_info.txt
2024-12-26 12:33 - 2024-12-26 18:57 - 000000967 _____ C:\Users\bux3\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-12-26 12:32 - 2024-12-26 18:56 - 000000000 ____D C:\temp
2024-12-14 18:05 - 2024-09-09 14:11 - 000000668 _____ C:\Users\Администратор\advanced_ip_scanner_MAC.bin
2024-12-14 18:05 - 2024-09-09 14:11 - 000000015 _____ C:\Users\Администратор\advanced_ip_scanner_Comments.bin
2024-12-14 18:05 - 2024-09-09 14:11 - 000000015 _____ C:\Users\Администратор\advanced_ip_scanner_Aliases.bin
2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
DenSyaoLin

DenSyaoLin

Опубликовано
  • Автор
Опубликовано (изменено)
11 часов назад, safety сказал:

session.tmp - это сессионный публичный ключ, которым выполняется шифрование, в расшифровке файлов он не поможет.

 

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-26 12:40 - 2024-12-26 18:51 - 000000967 _____ C:\Users\bux3\Desktop\Decrypt_ELPACO-team_info.txt
2024-12-26 12:33 - 2024-12-26 18:57 - 000000967 _____ C:\Users\bux3\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-12-26 12:32 - 2024-12-26 18:56 - 000000000 ____D C:\temp
2024-12-14 18:05 - 2024-09-09 14:11 - 000000668 _____ C:\Users\Администратор\advanced_ip_scanner_MAC.bin
2024-12-14 18:05 - 2024-09-09 14:11 - 000000015 _____ C:\Users\Администратор\advanced_ip_scanner_Comments.bin
2024-12-14 18:05 - 2024-09-09 14:11 - 000000015 _____ C:\Users\Администратор\advanced_ip_scanner_Aliases.bin
2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

добрый день, выполнил процедуру добавляю файлы https://disk.yandex.ru/d/Tm2BdSLumVCXLQ

Fixlog.txt

 

также с данной заразой имеется еще один комп, скидываю данные сканирования FRST как предыдущий раз, можете пожалуйста глянуть, спасибо

Addition.txt Files.rar FRST.txt

Изменено пользователем DenSyaoLin
safety

safety

Опубликовано
Опубликовано

По второму ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\pfp3\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-12-26 12:41 - 2024-12-26 12:41 - 000000967 _____ C:\Users\pfp3\Desktop\Decrypt_ELPACO-team_info.txt
2024-12-26 12:32 - 2024-12-26 12:41 - 000000967 _____ C:\Users\pfp3\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-12-26 12:31 - 2024-12-26 12:41 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-12-26 12:31 - 2024-12-26 12:31 - 000000000 ____D C:\temp
2024-12-26 12:10 - 2024-12-26 12:10 - 000000437 _____ C:\Windows\system32\u1.bat
2024-12-26 15:34 - 2022-10-18 11:10 - 000000000 __SHD C:\Users\pfp3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

DenSyaoLin

DenSyaoLin

Опубликовано
  • Автор
Опубликовано
20 минут назад, safety сказал:

По второму ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\pfp3\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-12-26 12:41 - 2024-12-26 12:41 - 000000967 _____ C:\Users\pfp3\Desktop\Decrypt_ELPACO-team_info.txt
2024-12-26 12:32 - 2024-12-26 12:41 - 000000967 _____ C:\Users\pfp3\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-12-26 12:31 - 2024-12-26 12:41 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-12-26 12:31 - 2024-12-26 12:31 - 000000000 ____D C:\temp
2024-12-26 12:10 - 2024-12-26 12:10 - 000000437 _____ C:\Windows\system32\u1.bat
2024-12-26 15:34 - 2022-10-18 11:10 - 000000000 __SHD C:\Users\pfp3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

по второму Пк, сделал исправление ссылка на архив и файл прикрепил https://disk.yandex.ru/d/ygXYXsIaELYO4g

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)

ключи шифрования разные на этих двух устройствах. Что вообщем-то и логично.

При каждом запуске шифровальщика Mimic (если не найден сессионный ключ session.tmp) будет использоваться новый ключ.

 

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено пользователем safety
DenSyaoLin

DenSyaoLin

Опубликовано
  • Автор
Опубликовано
4 минуты назад, safety сказал:

ключи шифрования разные на этих двух устройствах. Что вообщем-то и логично.

При каждом запуске шифровальщика Mimic (если не найден сессионный ключ session.tmp) будет использоваться новый ключ.

 

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

я так понимаю что ни на одном ни на другом компе восстановить файлы не представляется возможным, без этого приватного ключа,

safety

safety

Опубликовано
Опубликовано (изменено)

Восстановление возможно, если сохранились незашифрованные бэкапы,

Расшифровать файлы без соответствующих приватных ключей невозможно.

 

кстати, учетная запись ваша, или злоумышленники создали?

 

adnimitsrator (S-1-5-21-159606302-674149571-961983404-1001 - Administrator - Enabled)

судя по логам, использовался этот скрипт

2024-12-26 12:10 - 2024-12-26 12:10 - 000000437 _____ C:\Windows\system32\u1.bat

 

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farsh13
      Шифровальщик с расширением KASPERSKY
      Автор farsh13
      Добрый день. 
      Утром зашифровались все файлы и стали с расширением KASPERSKY
      Скан логи утилитой с зараженного ПК, текст вымогателя и несколько файлов прилагаю
      PHOTO-2018-05-31-17-30-46.jpg.rar Addition.txt FRST.txt Kaspersky_Decryption.txt
    • Greshnick
      secure5555@msgsafe.io
      Автор Greshnick
      4.10.2022 через слабый RDP зашифровали файлики на серверах во всей сети.
      Однозначно можно сказать, что по словарю пытались подобрать пароль к дефолтному Администратору.
      архив с шифрованными файлами прилагаю.
      Так же удалось выцепить само тело вируса. Архив могу выслать.
      Есть шансы на восстановление, или хоронить?
       
      Содержание письма с требованием instructions.txt:
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Ваш идентификатор (ID)
      MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
      Для расшифровки данных:
      Напишите на почту - secure5555@msgsafe.io
       
       *В письме указать Ваш личный идентификатор  MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      g0ei9.rar
    • Denis.A.Shmarov
      Помогите расшифровать.
      Автор Denis.A.Shmarov
      Коллеги добрый ( не очень) день!
       
      Также поймали этого шифровальщика - и идентификатор тот же что и в первом посте Ильдар_T
       
      Вопрос к Ильдар_T    Удалось ли что-то выяснить по сабжу ?
       
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Ваш идентификатор (ID)
      MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
      Для расшифровки данных:
      Напишите на почту - secure5555@msgsafe.io
       
       *В письме указать Ваш личный идентификатор  MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      Сообщение от модератора kmscom Тема перемещена из https://forum.kasperskyclub.ru/topic/238801-pomogite-rasshifrovat/?_report=2928  
    • sergey_arz
      День добрый, компьютер проектировщика заражен шифровальщиком
      Автор sergey_arz
      День добрый, компьютер проектировщика заражен шифровальщиком. Скан антивирусом не проводил как рекомендует записка, записки и файлы прилагаю.
      файлы и записка.rar Addition.txt FRST.txt
    • Andrey25112025
      Trojan.Encoder
      Автор Andrey25112025
      Здравствуйте. Прошу рассмотреть возможность расшифровать базы 1С на коммерческой основе, файлы зашифрованы в октябре 2024г. Ниже ссылка на два зашифрованных файла. https://disk.yandex.ru/d/KvsLkCD2K-ttNg
      https://disk.yandex.ru/d/LeB1EqVX7NOGJA
       
×
×
  • Создать...