mimic/n3wwv43 ransomware Вирус шифровальщик-вымогатель с расширением *.ELPACO-team...

[SergeyL]

Здравствуйте, был взломан компьютер через RDP зашифрованы все файлы. При этом свой *.exe файл так же зашифрован.

Addition.txt FRST.txt для касперского.zip

зашифрованные.zip

Изменено 26 августа пользователем SergeyL
добавилась информация

[safety]

По очистке системы в FRST выполните:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-08-24 11:20 - 2024-08-24 12:55 - 000000000 ____D C:\Users\noname\Desktop\!logs
2024-08-24 11:19 - 2024-08-24 11:19 - 000000000 ____D C:\Users\noname\Desktop\mimikatz
2024-08-24 11:19 - 2022-06-20 13:57 - 000000811 _____ C:\Users\noname\Desktop\!start.cmd
2024-08-24 11:18 - 2024-08-24 12:59 - 000000000 ____D C:\Users\noname\Desktop\netSCAN
2024-08-24 18:33 - 2022-07-21 07:25 - 000000000 __SHD C:\Users\noname\AppData\Local\194D880B-58C6-4514-6352-EFFB05B9B30B
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

[SergeyL]

Fixlog.txt

[safety]

Проверьте ЛС.

[safety]

26.08.2024 в 18:40, safety сказал:

Проверьте ЛС.

По расшифровке файлов:

 

К сожалению, по данному типу шифровальщика не сможем вам помочь, не имея приватного ключа.