mimic/n3wwv43 ransomware шифровальщик-вымогатель elpaco-team

[gentry]

Добрый день. Прошу помощи в дешифровке.

Логи FRST, файл с требованиями и зашифрованные файлы во вложении.

elpaco.rar

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

скрипт ниже:

Start::
HKLM\...\Run: [windowss.exe] => C:\Users\BUH1\AppData\Local\Decrypt_ELPACO-team_Info.txt [966 2024-08-28] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3835287912-279278278-2433089369-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [acbchkahfmndkenefkcklofjmipghjjp]
CHR HKU\S-1-5-21-3835287912-279278278-2433089369-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fahheakdhoeoigmafejkehdoeikpgdfp]
CHR HKU\S-1-5-21-3835287912-279278278-2433089369-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg]
CHR HKU\S-1-5-21-3835287912-279278278-2433089369-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
2024-08-27 23:49 - 2024-08-28 10:56 - 000000966 _____ C:\Decrypt_ELPACO-team_Info.txt
2024-08-27 23:49 - 2024-08-28 10:56 - 000000000 ____D C:\temp
2024-08-27 23:47 - 2024-08-27 23:47 - 000000000 ____D C:\Users\BUH1\Desktop\netSCAN
2024-08-27 23:44 - 2024-08-27 23:44 - 000000428 _____ C:\Windows\system32\u1.bat
2024-08-28 11:32 - 2021-11-14 05:38 - 000000000 __SHD C:\Users\BUH1\AppData\Local\7957B67B-7D8C-1172-9F80-096166D78770
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

[gentry]

Fixlog.txt

[safety]

По расшифровке файлов:

 

К сожалению, по данному типу шифровальщика не сможем вам помочь, не имея приватного ключа.

+

проверьте ЛС.

Изменено 28 августа, 2024 пользователем safety