mimic/n3wwv43 ransomware Вирус шифровальшик

[Max78]

Здравствуйте, вирус зашифровал файлы на компьютере, все файлы переименовал *.ELPACO-team

Прошу помощи

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Max78]

Здравствуйте. Вирус зашифровал файлы и поменял название файлов на *. ELPACO-team.

Прошу помощи. 

Addition.txt FRST.txt Вирус.rar

[safety]

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [26] KVRT(1).exe
HKU\S-1-5-21-434271636-4125183809-313903305-1001\...\Policies\Explorer\DisallowRun: [27] rkill.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-06-06 02:20 - 2024-06-06 07:16 - 000000945 _____ C:\Users\Maxim\AppData\Local\Decryption_INFO.txt
2024-06-06 02:20 - 2024-06-06 07:14 - 000000945 _____ C:\Decryption_INFO.txt
2024-06-06 07:18 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\Maxim\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-01-10 22:03 - 2024-01-10 22:03 - 000000440 _____ () C:\ProgramData\temp_Delete.bat
2024-01-10 22:03 - 2024-01-10 22:03 - 000000096 _____ () C:\ProgramData\temp_runbat.vbs
2024-06-06 02:20 - 2024-06-06 07:16 - 000000945 _____ () C:\Users\Maxim\AppData\Local\Decryption_INFO.txt
2022-10-25 12:59 C:\AdwCleaner
2022-10-25 12:59 C:\KVRT2020_Data
2022-10-25 12:59 C:\KVRT_Data
2022-10-25 12:59 C:\Program Files\AVAST Software
2022-10-25 12:59 C:\Program Files\AVG
2022-10-25 12:59 C:\Program Files\Bitdefender Agent
2022-10-25 12:59 C:\Program Files\ByteFence
2022-10-25 12:59 C:\Program Files\Cezurity
2022-10-25 12:59 C:\Program Files\COMODO
2022-10-25 12:59 C:\Program Files\DrWeb
2022-10-25 12:59 C:\Program Files\Enigma Software Group
2022-10-25 12:59 C:\Program Files\ESET
2022-10-25 12:59 C:\Program Files\Kaspersky Lab
2022-10-25 12:59 C:\Program Files\Loaris Trojan Remover
2022-10-25 12:59 C:\Program Files\Malwarebytes
2022-10-25 12:59 C:\Program Files\Process Lasso
2022-10-25 12:59 C:\Program Files\Rainmeter
2022-10-25 12:59 C:\Program Files\Ravantivirus
2022-10-25 12:59 C:\Program Files\SpyHunter
2022-10-25 12:59 C:\Program Files (x86)\360
2022-10-25 12:59 C:\Program Files (x86)\AVAST Software
2022-10-25 12:59 C:\Program Files (x86)\AVG
2022-10-25 12:59 C:\Program Files (x86)\Cezurity
2022-10-25 12:59 C:\Program Files (x86)\GRIZZLY Antivirus
2024-06-09 20:32 C:\Program Files (x86)\Kaspersky Lab
2022-10-25 12:59 C:\Program Files (x86)\Panda Security
2022-10-25 12:59 C:\Program Files (x86)\SpyHunter
2022-10-25 12:59 C:\Program Files (x86)\Transmission
2022-10-25 12:59 C:\WINDOWS\speechstracing
2023-06-08 19:57 C:\Program Files\Common Files\AV
2022-10-25 12:59 C:\Program Files\Common Files\Doctor Web
2022-10-25 12:59 C:\Program Files\Common Files\McAfee
2022-10-25 12:59 C:\ProgramData\360safe
2022-10-25 12:59 C:\ProgramData\AVAST Software
2022-10-25 12:59 C:\ProgramData\Avira
2022-10-25 12:59 C:\ProgramData\BookManager
2022-10-25 12:59 C:\ProgramData\Doctor Web
2022-10-25 12:59 C:\ProgramData\ESET
2022-10-25 12:59 C:\ProgramData\Evernote
2022-10-25 12:59 C:\ProgramData\FingerPrint
2022-10-25 12:59 C:\ProgramData\grizzly
2018-10-14 20:50 C:\ProgramData\Kaspersky Lab Setup Files
2022-10-25 12:59 C:\ProgramData\Malwarebytes
2022-10-25 12:59 C:\ProgramData\MB3Install
2019-08-25 12:18 C:\ProgramData\McAfee
2022-10-25 12:59 C:\ProgramData\Norton
2022-10-25 12:59 C:\ProgramData\PuzzleMedia
2022-10-25 12:59 C:\ProgramData\RobotDemo
2022-10-25 12:59 C:\ProgramData\WavePad
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

+

проверьте ЛС.

[kmscom]

Сообщение от модератора kmscom

Темы объединены

 

[safety]

13 minutes ago, Ezh85 said:

Могу я приложить свои файлы сюда для исследования, чтобы не плодить темы?

Как вы уже могли заметить, сваливание своих логов и файлов в чужой теме здесь не приветствуется.

Так что лучше плодите ваши темы и размножайте в них ваши логи и файлы.