mimic/n3wwv43 ransomware ELPACO-team
Автор
Binomial
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
Автор Alexandr_
Добрый день, помогите победить шифровальщик от Elpaco-team, зашифровал документы и базу 1С (
Надеюсь на Вашу помощь
Addition.txt Decrypt_ELPACO-team_info.txt filespdf.rar FRST.txt
-
Автор zummer900
Добрый день.
В ночь и нас накрыли данные ребята.
Прекрасно понимаю что расшифровать нельзя. Зашифровали все .exe файлы. То есть система под снос.
Вопрос как понять откуда пошло ?
Как вычислить на других машинах ?
парк тачек большой. По RDP на ружу смотрела пару машин. Но не с одной из них доступа к серверам 1с не было, но он тоже лег. Внутри локалки в 1с ходят по RDP....думаю в этом и причина.
Зашифрованы и сетевые папки по самбе. Файловая помойка на линуксе OMV. На ней поднята самба и расшарены файлы.
Addition.txt Decryption_INFO.txt FRST.txt filevirus.rar
-
Автор dtropinin
Здравствуйте специалисты.
вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
выключил быстро комп.
в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
Диск E - вообще не пострадал.
Диск М - вообще не пострадал.
На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
Одна из них - Win7.
На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
---------------------------------------
В системе установлена служба.
Имя службы: KProcessHacker3
Имя файла службы: C:\Program Files\Process Hacker 2\kprocesshacker.sys
Тип службы: драйвер режима ядра
Тип запуска службы: Вручную
Учетная запись службы:
---------------------------------------
далее я нашел на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
-
Автор Flange
Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете восстановить их?
Addition.txt FRST.txt Garantiinyi_talon_Wolf.pdf.zip
-
Автор Malsim
Добрый день!
Прошу помощи с шифровальщиком-вымогателем ELPACO.
Логи FRST/Additional + зашифрованные файлы + записка вымогателей во вложении.
Заранее спасибо!
Virus.rar
-
Рекомендуемые сообщения