mimic/n3wwv43 ransomware шифровальщик

[Сергей_00]

Добрый день!

Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...

В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe

следующие файлы:

Everything.db

Everything32.dll

Everything64.dll

session.tmp

svhostss.exe

 

быть может есть возможность дешифровать данные? 

[Сергей_00]

да, зашифрованные файлы с расширением  .ELPACO-team

[kmscom]

 выполните указания в теме «Порядок оформления запроса о помощи».

[safety]

17 minutes ago, Сергей_00 said:

а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe

+

заархивируйте данную папку с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

--------

 

Изменено 10 июня пользователем safety

[Сергей_00]

архив с папкой вируса

 

Изменено 13 июня пользователем Sandor
Отправить нужно было личным сообщением, ссылку убрал

[safety]

3 hours ago, Сергей_00 said:

архив с папкой вируса

https://www.virustotal.com/gui/file-analysis/Yjk1MWU1MDI2NGY5YzUyNDQ1OTJkZmIwYTg1OWVjNDE6MTcxODI4OTUwMw==

 

если необходима помощь в очистке системы, соберите файлы и логи по правилам:

выполните указания в теме «Порядок оформления запроса о помощи».

Изменено 13 июня пользователем safety

[Сергей_00]

https://cloud.mail.ru/public/oVho/SUxTMGNr5     Addition.txt

https://cloud.mail.ru/public/RHfr/hmYS2oVvR    FRST.txt

https://cloud.mail.ru/public/xNxA/ePCHZPUK2     Shortcut.txt

https://cloud.mail.ru/public/kZnA/vYSUhwiew      зашифрованные файлы

 

в зашифрованных файлах и содержится письмо вымогателей.

такое впечатление что они подменяют первые сектора файлов на свое сообщение, а нормальные сектора хранятся в everything.db

 

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
CHR HKLM-x32\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [pomekhchngaooffdadfjnghfkaeipoba]
2024-06-11 13:39 - 2024-06-11 13:39 - 000000000 ____D C:\Users\adm\AppData\Roaming\Process Hacker 2
2024-06-10 12:32 - 2024-06-10 12:33 - 000000945 _____ C:\Users\терминал10\AppData\Local\Decryption_INFO.txt
2024-06-10 11:23 - 2024-06-10 11:23 - 000000000 ____D C:\Users\systema$\AppData\Roaming\Process Hacker 2
2024-06-10 11:19 - 2024-06-10 12:33 - 000000945 _____ C:\Decryption_INFO.txt
2024-06-10 11:19 - 2024-06-10 11:19 - 000000945 _____ C:\Users\systema$\AppData\Local\Decryption_INFO.txt
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\ProgramData\IObit
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-06-10 11:16 - 2024-06-10 11:16 - 000000000 ____D C:\Program Files (x86)\IObit
Unlock: C:\Users\systema$\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
Unlock: C:\Users\терминал10\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-06-10 14:39 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\systema$\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-06-10 12:33 - 2022-03-10 06:02 - 000000000 __SHD C:\Users\терминал10\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

[Сергей_00]

Системе требуется перезагрузка.

==== Конец от Fixlog 22:12:21 ====

это сделал...  а что то полезное можно вытащить из файлов содержащихся в папке с трояном? 

я имею в виду расшифровку... мне то ладно, может кому другому понадобиться:)

------------

Fixlog не надо печатать в сообщении в виде простыни, просто добавляем как вложенный файл. Это касается всех запрашиваемых логов.

 

Изменено 15 июня пользователем safety
Fixlog не надо печатать в сообщении

[safety]

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

статистика обращений на форуме:

2022 год - mimic: 20

2023 год - mimic: 61

2024 год - mimic: 57

Изменено 16 июня пользователем safety

[Сергей_00]

хорошо,

а содержимое session.tmp не похоже на приватный ключ ?

›Џaь„Ч«vцкvЃюVо)FYy^«C‡GЈkr

 

и что же за данные в Everything.db - очень похожи на таблицу разделов диска... тем более что при открытии в блокноте любого зашифрованного файла выходит письмо вымогателей.

в любом случае, спасибо за уделенное время... 

 

 

[safety]

1 hour ago, Сергей_00 said:

хорошо,

а содержимое session.tmp не похоже на приватный ключ ?

›Џaь„Ч«vцкvЃюVо)FYy^«C‡GЈkr

 

и что же за данные в Everything.db - очень похожи на таблицу разделов диска... тем более что при открытии в блокноте любого зашифрованного файла выходит письмо вымогателей.

 

в любом случае, спасибо за уделенное время... 

 

 

Все зависит от схемы шифрования. Это может быть сессионный симметричный ключ которым шифруется отдельный файл, пишется он в session.tmp по причине того, чтобы в случае прерывания процесса шифрования, при возобновлении процесса, шифрование было продолжено данным ключом. (т.е. эотт ключ может быть полезен при расшифровке единственного файла)

 

Everything.db - вспомогательный файл, который возможно хранит результаты запросов файлов с использованием утилиты Everything.exe для ускорения поиска необходимых для шифрования файлов. (Никакой информации о ключах он не содержит.)

 

Возможно, что запуск Notepad.exe (с запиской о выкупе) прописан в ассоциации к зашифрованному файлу в реестре.

 

Увы, пока что Mimic является одним из самых продуктивных шифровальщиков, без решения с расшифровкой. Кроме, выкупа за приватный ключ. Или восстановления данных из бэкапов.

статистика обращений на форуме:

2022 год - mimic: 20

2023 год - mimic: 61

2024 год - mimic: 57

 

Изменено 16 июня пользователем safety

[Сергей_00]

ну понятно, уже все восстановили, два дня работы, нашли старые архивы... повезло.

 

[safety]

+ проверьте ЛС.