mimic/n3wwv43 ransomware ELPACO-team нужна помощь в лечении пк и дешифровке файлов

[Parad0xXx 0]

07.07 с утра обнаружили шифровальщика на сервере 1с. RDP было открыто(стояла ip ban и бесплатный антивирус кашперского). Так же были зашифрованы архивы баз 1с. Вот их то бы и нужно расшифровать. Остальное ценности не имеет.

 

Почитал на форуме темы, я так понимаю вирус новый, буду рад любой помощи.

Addition.txt Decryption_INFO.rar FRST.txt Актуальные базы 1С.txt.rar Новый текстовый документ.txt.rar

[safety 124]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\...\Run: [svhostss.exe] => C:\Users\noname\AppData\Local\Decryption_INFO.txt [935 2024-07-07] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\bh01kd01\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\bh01kmz01\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ServiceS001\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-07-07 08:02 - 2024-07-07 08:02 - 000000935 _____ C:\Users\noname\Desktop\Decryption_INFO.txt
2024-07-07 08:02 - 2024-07-07 08:02 - 000000935 _____ C:\Users\Decryption_INFO.txt
2024-07-07 06:17 - 2024-07-07 08:02 - 000000935 _____ C:\Decryption_INFO.txt
2024-07-07 06:16 - 2024-07-07 07:27 - 000000000 ____D C:\Users\noname\AppData\Roaming\Process Hacker 2
2024-07-07 06:15 - 2024-07-07 07:27 - 000002006 _____ C:\Users\noname\Desktop\Process Hacker 2.lnk.ELPACO-team
2024-07-07 06:15 - 2024-07-07 07:27 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-07 06:15 - 2024-07-07 06:15 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-07 08:02 - 2023-08-04 18:57 - 000000000 __SHD C:\Users\noname\AppData\Local\F6A3737E-E3B0-8956-8261-0121C68105F3
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

[Parad0xXx 0]

Вложение на карантин: https://disk.yandex.ru/d/SM5pXDGAs8dftQ

Fixlog.txt

[safety 124]

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.