mimic/n3wwv43 ransomware Нужна помощь с шифровальщиком elpaco team. Пожалуйста.

[Сергей3300]

Добрый день прошу помощи в удалении шифровальщика и расшифровке файлов. Спасибо большое.

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Сергей3300]

Спасибо большое, сейчас сделаю.

 

Файлы прилагаю.

Files.rar

[Sandor]

Какой пароль на архив?

[Сергей3300]

Пароль virus в первом варианте не прикрепил файл Decryption_INFO----злоумыленники.txt

Files_2.rar

[Sandor]

К сожалению, расшифровки этого типа вымогателя нет.

Полагаю, вы итак уже это поняли.

 

Помощь в очистке системы от его следов нужна или планируете переустановку?

[Сергей3300]

Если возможно помочь, сюда попробую поставить важные файлы хоть, что-то вытянуть конфиги может получится, а вообще не известно в ближайщее время появится расшифровщик ? И могли бы проконсультировать пожалуйста как мог попасть этот шифровальщик ?

[safety]

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2018-10-24]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\sksupport\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-07 03:55 - 2024-07-07 03:55 - 000000927 _____ C:\Users\systema$\Desktop\Decryption_INFO.txt
2024-07-07 03:55 - 2024-07-07 03:55 - 000000927 _____ C:\Users\Decryption_INFO.txt
2024-07-06 14:33 - 2024-07-07 03:34 - 000000927 _____ C:\Users\systema$\AppData\Local\Decryption_INFO.txt
2024-07-06 14:32 - 2024-07-07 03:55 - 000000927 _____ C:\Decryption_INFO.txt
2024-07-06 14:31 - 2024-07-07 03:29 - 000000000 ____D C:\Users\systema$\AppData\Roaming\Process Hacker 2
2024-07-06 14:27 - 2024-07-07 03:29 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-06 14:27 - 2024-07-06 14:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-07 03:56 - 2022-06-15 01:00 - 000000000 __SHD C:\Users\systema$\AppData\Local\B030C116-A730-AE91-0CE4-073B07B52D85
2024-07-07 03:28 - 2023-06-10 13:31 - 000001491 _____ C:\Users\Пользователь\Desktop\cmd.exe
2024-07-07 03:28 - 2021-08-01 15:21 - 020385202 _____ C:\Users\sksupport\Desktop\Advanced_IP_Scanner_2.5.3850.exe
2024-07-07 03:28 - 2018-10-30 19:37 - 020210282 _____ C:\Users\Пользователь\Downloads\Advanced_IP_Scanner_2.5.3646.exe.ELPACO-team
2024-07-07 03:28 - 2018-10-24 19:48 - 002066714 _____ C:\Users\Пользователь\Downloads\AnyDesk.exe.ELPACO-team
FirewallRules: [{F392FCD2-4128-4A7B-93C9-69313A33715F}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{DAD1CBDF-DECC-49F5-8992-CF2F02F10250}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{1E022049-599A-4782-B17F-CB782C437803}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{318A4FF5-D0CA-4A5E-9CF6-2227E23CAB2D}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{72BAA868-5EB6-4371-807C-04B1A01BD68D}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{22CBB58A-D0AF-4A81-9E14-77F6816E27D3}] => (Allow) C:\Users\Пользователь\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{F06EF9FB-D9AA-4F09-8665-8E3338A0E9B3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AAEB0804-230A-4684-8662-5CF1F9CA77BF}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B2754FD3-E038-476C-85F1-C8363AB11CCE}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{6FBAC0A8-7AF5-4F85-88F0-31D4F5F0BB95}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{23F20CE8-DEEE-47F6-A507-94AF49CA07A2}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{EA739E95-B5D2-4526-98CF-2D8323BAA34B}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

[Сергей3300]

Файл во вложении.

FRST.txt

[safety]

45 минут назад, Сергей3300 сказал:

Файл во вложении.

Скрипт из моего предыдущего сообщения выполнили?

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

 

[Сергей3300]

Спасибо большое, извиняюсь за задержку.

Fixlog.txt

[safety]

С расшифровкой не сможем помочь.

-------

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.