mimic/n3wwv43 ransomware Шифровальщик зашифровал файлы

[Алексей Красный Ключ 0]

Добрый день!

Шифровальщик зашифровал файлы с расширением ELPACO-team

Определить шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь! 

Decryption_INFO.zip

[thyrex 1 407]

Правила оформления запроса о помощи

[Алексей Красный Ключ 0]

Файлы логов программы  Farbar Recovery Scan Tool во вложении

Файл вируса найти не удалось 

FRST.txt Addition.txt

[safety 107]

18 минут назад, Алексей Красный Ключ сказал:

Файлы логов программы  Farbar Recovery Scan Tool во вложении

файлы логов надо сделать на том устройстве где есть зашифрованные файлы.

Здесь судя по логам FRST нет следов шифрования.

По типу шифровальщика с учетом указанного вами расширения *ELPACO-team  - Mimic Ransomware

[Алексей Красный Ключ 0]

Там файлообменник на линуксе и нет графического интерфейса, а с какого компа был запущен вирус неизвестно 

[safety 107]

поищите на ваших ПК папку C:\Temp, в ней может быть файл MIMIC_LOG.txt. Таких ПК может быть несколько, может быть один.

[Алексей Красный Ключ 0]

Вроде нашел источник

Addition.txt FRST.txt

[safety 107]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее

 

Start::
() [Файл не подписан] C:\Users\noname\AppData\Local\F6A3737E-E3B0-8956-8261-0121C68105F3\gui40.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\notepad.exe
HKLM\...\Run: [svhostss.exe] => C:\Users\noname\AppData\Local\Decryption_INFO.txt [935 2024-07-14] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-14 14:09 - 2024-07-14 14:09 - 000000935 _____ C:\Users\noname\Desktop\Decryption_INFO.txt
2024-07-14 12:05 - 2024-07-14 14:07 - 000000935 _____ C:\Users\noname\AppData\Local\Decryption_INFO.txt
2024-07-14 12:04 - 2024-07-14 14:09 - 000000935 _____ C:\Decryption_INFO.txt
2024-07-14 12:04 - 2024-07-14 14:09 - 000000000 ____D C:\temp
2024-07-14 12:03 - 2024-07-14 12:19 - 000000000 ____D C:\Users\noname\AppData\Roaming\Process Hacker 2
2024-07-14 12:01 - 2024-07-14 12:19 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-14 12:01 - 2024-07-14 12:17 - 000002028 _____ C:\Users\noname\Desktop\Process Hacker 2.lnk.ELPACO-team
2024-07-14 12:01 - 2024-07-14 12:01 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-14 15:57 - 2023-08-04 18:57 - 000000000 __SHD C:\Users\noname\AppData\Local\F6A3737E-E3B0-8956-8261-0121C68105F3
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

[Алексей Красный Ключ 0]

Готово

Файл Fixlog.txt из папки, откуда запускали FRST, во вложении

Ссылку на скачивание архива отправил в ЛС, пароль virus

Fixlog.txt

[safety 107]

С расшифровкой не сможем помочь.

-------

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

 

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут быть посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.