mimic/n3wwv43 ransomware elpaco-team шифровальщик, просит выкуп

[Раис888888]

Имеется такая же проблема

паспорт.pdf.rar

Изменено 2 июля, 2024 пользователем Раис888888
добавил файлы

[Раис888888]

был взломан сервер, прошу помочь в дешифровке

Decryption_INFO.rar SearchReg.rar Доступ.rar

[safety]

Из FRST необходимы логи FRST.txt и Addition.txt

Как собрать необходимые логи.

[Раис888888]

12 часов назад, safety сказал:

Из FRST необходимы логи FRST.txt и Addition.txt

Как собрать необходимые логи.

 

Addition.txt FRST.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
() [Файл не подписан] C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Z0BAZwxx\uu.exe <2>
HKLM-x32\...\Run: [uu.exe] => C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Z0BAZwxx\uu.exe [102912 2020-09-08] () [Файл не подписан]
HKLM\...\Run: [svhostss.exe] => C:\Users\systema$\AppData\Local\Decryption_INFO.txt [927 2024-06-28] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
HKU\S-1-5-21-1058425139-1518313359-263183337-1000\...\MountPoints2: {5866e2c9-f862-11e6-8f8a-806e6f6e6963} - E:\AutoRun\AutoRunX\AutoRunX.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\001\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\002\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-06-28 00:43 - 2024-06-28 02:49 - 000000000 ____D C:\Users\systema$\AppData\Roaming\Process Hacker 2
2024-06-28 00:41 - 2024-06-28 02:49 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-06-28 00:41 - 2024-06-28 00:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-06-28 03:13 - 2022-06-15 03:00 - 000000000 __SHD C:\Users\systema$\AppData\Local\B030C116-A730-AE91-0CE4-073B07B52D85
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

[safety]

по результату очистки в Fixlog:

этот файл проверьте на Virustotal.com и дайте ссылку здесь на линк проверки.

Цитата

C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Z0BAZwxx\uu.exe

 

 

Fixlog.txt

Изменено 4 июля, 2024 пользователем safety

[Раис888888]

19 минут назад, safety сказал:

5b5bcca2297610db487a26d811cf01ee78128c91c9ba9bf838a24924e0e20e6b

 

[safety]

2 hours ago, Раис888888 said:

5b5bcca2297610db487a26d811cf01ee78128c91c9ba9bf838a24924e0e20e6b

Kaspersky Backdoor.Win32.Androm.lctq

файл можно  вручную удалить, он был исключен из автозапуска.

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

[safety]

По очистке в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.

 

;uVS v4.15.7v [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\1CV8\8.3.20.1613\BIN\HTMLUI.DLL
zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
dirzooex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
deldirex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
apply
czoo
restart

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новый образ автозапуска для контроля.

Возможно, какой то хитрый бэкдор, маскирует свой путь.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE [2152]

 

Изменено 4 июля, 2024 пользователем safety

[safety]

по логу выполнения скрипта:

 

Цитата

Копирование файла в Zoo: \\?\C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
Файл скопирован в ZOO: D:\ВОССТАНОВЛ\НОВЫЙ КАТАЛОГ\ZOO\UU.EXE._DCC4F2724D5FBEA767435CD6D9CD7788E1EB4C1F
dirzooex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
Копирование файла в Zoo: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\uu.exe
delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
deldirex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
--------------------------------------------------------
Удалено файлов: 1 из 1

 

бэкдор зачистился, в новом образе его уже нет.

 

Выполните рекомендации по защите системы от новых атак шифровальщиков.