Перейти к содержанию

Шифровальщик Elenor-corp

workforfuns
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы выполните:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\...\Run: [systemsg.exe] => C:\Users\memhash\AppData\Local\Decrypt_ELENOR-corp_info.txt [994 2025-04-22] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {E57E86CC-FB31-4D9A-972E-1AB7A32125F8} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-2184213260-615971735-1779829484-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-2184213260-615971735-1779829484-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
2025-04-23 02:44 - 2025-04-23 02:44 - 000000994 _____ C:\Users\memhash\Desktop\Decrypt_ELENOR-corp_info.txt
2025-04-23 01:02 - 2025-04-23 01:02 - 000000000 ____D C:\Users\memhash\AppData\Roaming\Process Hacker 2
2025-04-23 00:58 - 2025-04-23 00:58 - 000000430 _____ C:\Windows\system32\u1.bat
2025-04-23 06:04 - 2023-02-24 05:42 - 000000000 __SHD C:\Users\memhash\AppData\Local\510DB345-C742-58BB-4CDE-0F349D882429
2025-04-23 01:03 - 2025-04-23 01:03 - 000000000 ____D C:\temp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
  • Like (+1) 1
workforfuns

workforfuns

Опубликовано
  • Автор
Опубликовано (изменено)

прикрепил и ссылка на yadisk

архив загружен, ссылка удалена
FRST.txt

Изменено пользователем safety
архив загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано

Просил добавить Fixlog.txt

Цитата

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

юзера создали с правами Администратора, из под него затем и шифровали.
 

Цитата

 

set  user=memhash
set  pass=Memhash_123

net user %user% %pass% /add /Passwordchg:Yes
net localgroup %AdmGroup% %user% /add

 

Проверьте ЛС.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Система уязвима:

MS16-032,,no
MS17-010,EternalBlue,no
CVE-2019-0708,BlueKeep,no
"CVE-2019-1181, CVE-2019-1182",DejaBlue,no
CVE-2021-34527,PrintNightmare,no

 

Учетная запись создана на момент шифрования:

memhash,23.04.2025 00:59:31 (?),yes,no,yes,yes

 

Защита учетных записей от брутфорса не включена. Ставить 20-30.

Lockout threshold,Никогда

 

Учетная запись с правами Администратора создана на момент шифрования. Запуск шифровальщика, очистка журналов был из под нее.

23.04.2025 06:04:05.819,Windows Event Log,"Log ""Security"" was cleared by Snikers\memhash."
23.04.2025 06:04:05.819,Windows Event Log,"Log ""Application"" was cleared by Snikers\memhash."
23.04.2025 06:04:05.809,Windows Event Log,"Log ""System"" was cleared by Snikers\memhash."
23.04.2025 00:59:31.438,Local Users,"Local user ""memhash"" was created."

----------

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

С расшифровкой файлов по данному типу шифровальщика, увы, не сможем помочь.

 

 

 

Изменено пользователем safety
  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kalosha
      Поймали шифровальщик
      Автор kalosha
      Доброго времени суток. на компе поработал шифровальщик. прошу подсказать чем можно расшифровать все файлы. Логи прикрепил. Так же прикрепил файл с возможным ключом и с зашифрованным файлом в архиве session.rar
      CollectionLog-2026.01.14-09.38.zip session.rar
    • Salien
      Шифровальщик зашифровал все файлы на ПК
      Автор Salien
      Шифровальщик зашифровал все файлы на ПК, файлы имеют расширение .elpy и после него ID 
    • AntonK2402
      Зашифровались все файлы расширение WORM
      Автор AntonK2402
      Зашифровались все файлы  расширение WORM  
       
      как можно расшифровать ? 
    • AlexPh_Vl
      Шифровальщик зашифровал всё, очень нужна база 1С
      Автор AlexPh_Vl
      Добрый день, продолжение  темы 
      файлы уже были отправлены в вышеуказанной теме.
      Речь об одном и том же компьютере.
      Прислали дешифровщик, но после лечения (удаления вируса) он  выдает ошибки. Как передать данный дешифровщик и  данные для анализа?
    • farsh13
      Шифровальщик с расширением KASPERSKY
      Автор farsh13
      Добрый день. 
      Утром зашифровались все файлы и стали с расширением KASPERSKY
      Скан логи утилитой с зараженного ПК, текст вымогателя и несколько файлов прилагаю
      PHOTO-2018-05-31-17-30-46.jpg.rar Addition.txt FRST.txt Kaspersky_Decryption.txt
×
×
  • Создать...