mimic/n3wwv43 ransomware Нужна помощь с шифровальщиком elpaco-team

[Айдар Шарипов]

05.07.2024 в нашем домене был создан доменный админ fttp1, с помощью которого (предположительно) злоумышленники получили доступ к группе наших серверов и 06.07.2024 вечером начали шифровать все файлы, на всех доменных серверах, до которых дотянулись, кроме файлов ОС и батников (*.cmd и *.bat). Среди зашифрованных файлов есть стандартные обработки 1С, приложил вместе с зашифрованными файлами оригиналы.
Буду рад любому совету.

FRST.txt Зашифровано.zip Зашифровано.zip Addition.txt

[safety]

по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
() [Файл не подписан] C:\Users\fttp1\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\gui40.exe
HKLM\...\Run: [svhostss.exe] => C:\Users\fttp1\AppData\Local\Decryption_INFO.txt [945 2024-07-06] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2021-11-09]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-06 00:46 - 2024-07-06 01:05 - 000000000 ____D C:\Users\fttp1\AppData\Roaming\Process Hacker 2
2024-07-06 00:44 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
2024-07-06 00:44 - 2024-07-06 04:01 - 000000945 _____ C:\Users\fttp1\AppData\Local\Decryption_INFO.txt
2024-07-06 00:31 - 2024-07-06 01:05 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-06 00:31 - 2024-07-06 00:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\ProgramData\IObit
2024-07-06 00:30 - 2024-07-06 00:30 - 000000000 ____D C:\Program Files (x86)\IObit
2024-07-06 04:06 - 2022-03-18 12:59 - 000000000 __SHD C:\Users\fttp1\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Цитата

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено 7 июля, 2024 пользователем safety

[Айдар Шарипов]

Fixlog.txt

Fixlog.txt

 

ACLSERV-DEV_2024-07-07_17-43-36_v4.15.7v.7z
Образ автозапуска

У меня несколько серверов в данный момент поражены, если я хочу скриптом в FRST очистить все серверы, то я могу как-то сделать это сам, или мне нужно будет файлы FRST.txt и Addition.txt от каждого вам прислать?

[safety]

Лучше по каждому серверу добавить, можно в этой теме логи FRST, затем для контроля - образ автозапуска.

Но лучше по порядку - не все сразу постить в этой теме. Почистили один, затем следующий, и т.д.

===========

по первому серверу все ок, за исключением этого файла:

F:\UPDATE_ACL20V8.CMD  - ваш файл?

Изменено 7 июля, 2024 пользователем safety

[Айдар Шарипов]

Да, F:\UPDATE_ACL20V8.CMD наш файл, это батник для обновления базы 1С.
Можно скидывать FRST.txt и Addition.txt от следующего сервера? Примеры зашифрованных файлов нужны в данном случае?

[safety]

Примеры и записка уже не нужны, понятно, что в каждой записке будет свой код, но тип шифровальщика мы уже определили, только почистим остальные сервера.

Цитата

Можно скидывать FRST.txt и Addition.txt от следующего сервера?

да,

Цитата

Примеры зашифрованных файлов нужны в данном случае?

не надо.

 

Изменено 7 июля, 2024 пользователем safety

[Айдар Шарипов]

Результат сканирования от второго сервера

Addition.txt FRST.txt

[safety]

 

По второму серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\av_khuzu\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Образ автозапуска не нужен.

 

Можно логи по следующему серверу постить.

[Айдар Шарипов]

Fixlog.txt - Fixlog от второго сервера

Addition.txtFRST.txt - Результат сканирования третьего сервера

[safety]

По третьему серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте так же образ автозапуска системы в uVS.

[Айдар Шарипов]

Fixlog.txt - Fixlog третьего сервера

FRST.txt
Addition.txt - Результат сканирования с четвёртого

[safety]

По 4 серверу:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-07-06 04:06 - 2024-07-06 04:06 - 000000945 _____ C:\Decryption_INFO.txt
End::

 

[Айдар Шарипов]

Образ uvs от третьего сервера, не прочитал сразу, что он был нужен.

ACROSSDC1_2024-07-08_09-35-39_v4.15.7v.7z

Fixlog.txt - Fixlog от четвёртого сервера
От остальных серверов пока что собираем логи FRST

 

Результаты сканирования на пятом сервере

Addition.txt FRST.txt

 

Результаты сканирования на шестом сервере

Addition.txt FRST.txt

[safety]

По 5 серверу:

Здесь все чисто, нет следов шифрования. Или уже были очищены сканерами от Дрвеб и ЛК. (kvrt)

[Айдар Шарипов]

Результаты сканирования на седьмом сервере

Addition.txt FRST.txt