Перейти к содержанию

Помощь по шифровальщику HEUR:Trojan-Ransom.Win32.Mimic.gen

RQST
 Поделиться

Рекомендуемые сообщения

RQST

RQST

Опубликовано
Опубликовано

Добрый день!

Прошу помощи с шифровальщиком mimic / elpaco. Поражена инфраструктура офиса.

-----------

Сообщение шифровальщика:

Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
Your data is encrypted
Your decryption ID is D6F1UYsBfAD8vuYRO-7qBajEYC86q4SkUIPo7z8LpE0*ELPACO-team
Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
The only method of recovering files is to purchase decrypt tool and unique key for you.
If you want to recover your files, write us
1) eMail - de_tech@tuta.io
2) Telegram - @Online7_365  or https://t.me/Online7_365

Attention!

Do not rename encrypted files. 
Do not try to decrypt your data using third party software - it may cause permanent data loss. 
We are always ready to cooperate and find the best way to solve your problem. 
The faster you write - the more favorable conditions will be for you. 
Our company values its reputation. We give all guarantees of your files decryption.

-----------

Пароль на архивы - "virus" (без кавычек)

root.zip - Файлы из корня диска, в том числе зашифрованные (расширение зашифрованных файлов - .ELPACO-team)
temp.zip - временные файлы вируса
F6A3737E-E3B0-8956-8261-0121C68105F3.zip - вирус (запуск через ветку реестра run) по ссылке https://disk.yandex.ru/d/dkHtydu6GhGFEA

----

frst.zip и FS01-S-2024-07-21_09-25-57_v4.15.7v.7z - отчеты

frst.zip root.zip temp.zip FS01-S-2024-07-21_09-25-57_v4.15.7v.7z

  • Печаль 1
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по образу, активности в автозапуске или в процессах уже нет. логи FRST сейчас проверю.

MIMIC_log не полный, возможно шифрование устройств в сети не было полностью завершено.

Изменено пользователем safety
  • Печаль 1
safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и перезагрузит ее

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\sutushkoma\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-07-20 18:03 - 2024-07-21 01:23 - 000000935 _____ C:\Users\rex.RQST\AppData\Local\Decryption_INFO.txt
2024-07-20 17:58 - 2024-07-21 01:23 - 000000935 _____ C:\Decryption_INFO.txt
2024-07-20 17:55 - 2024-07-20 18:24 - 000000000 ____D C:\Users\rex.RQST\AppData\Roaming\Process Hacker 2
2024-07-20 17:53 - 2024-07-20 18:23 - 000002012 _____ C:\Users\rex.RQST\Desktop\Process Hacker 2.lnk.ELPACO-team
2024-07-20 17:53 - 2024-07-20 18:05 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-07-20 17:53 - 2024-07-20 17:53 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-07-21 01:23 - 2023-08-04 16:57 - 000000000 __SHD C:\Users\rex.RQST\AppData\Local\F6A3737E-E3B0-8956-8261-0121C68105F3
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

+

вопрос: на других устройствах обнаружены папки с шифровальщиком?

  • Печаль 1
RQST

RQST

Опубликовано
  • Автор
Опубликовано

Добрый день! Выполнил скрипт frst, перезагрузил сервер, прикладываю отчет.

Тела вируса на других серверах и рабочих станциях пока не найдено. Обнаружены только следы шифровальщика: текстовик с письмом и зашифрованные файлы с добавленным расширением (аналогично тому, что я прикладывал в первом посте).

Fixlog1.txt

  • Не согласен 1
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логу MIMIC_log, который создается на устройстве, если на нем был запущен процесс шифрования, другие устройства в локальной сети шифровались по сети через админские шары и  расшаренные папки. В этом случае, на устройстве в сети будут только зашифрованные файлы и записки о выкупе в каталогах). Процессы с шифрованием на них не создаются. MIMIC_log.txt в папке c:\temp не создается. Каталог с телом шифровальщика не создается (если только не переносится вручную, чтобы создать процесс с шифрованием.

+

проверьте ЛС.

Изменено пользователем safety
  • Печаль 1
RQST

RQST

Опубликовано
  • Автор
Опубликовано (изменено)

У нас нашлось еще одно "тело" или "рудименты"   kvrt-report.thumb.jpeg.c6215e8100457b60b76ef02c15690fa0.jpeg

Можно ли положиться ТОЛЬКО на сканер касперского kvrt для лечения данного шифровальщика?

Изменено пользователем RQST
safety

safety

Опубликовано
Опубликовано
Цитата

У нас нашлось еще одно "тело" или "рудименты"   

добавьте так же логи FRST по данному устройству.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • Rowman
      Помощь с шифровальщиком zeppelin
      Автор Rowman
      Здравствуйте!
      Файлы на сервере были зашифрованы zeppelin-ом. Система зависла в процессе, поэтому работу вирус не завершил. Сервер после этого не загружал, подключил HDD к другому компьютеру, и вытащил ключи из реестра вместе файлом вируса. Как я понимаю, бесплатное решение на данный момент отсутствует. Коммерческой лицензии Касперского нет. Имеет ли смысл её приобретать для обращения в техподдержку (помогут ли)?
      20.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • itz
      Помощь с определением шифровальщика
      Автор itz
      Добрый день, помогите пожалуйста с определением типа шифровальщика и возможности расшифровать данные файлы. Прилагаю несколько файлов в архиве и записку с требованиями
      bNch5yfLR.README.txt шифровальщик.rar
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
×
×
  • Создать...