mimic/n3wwv43 ransomware Шифровальщик ELPACO-team el_kurva@tuta.io

22 сентября, 2024

Доброго времени суток. Поймали шифровальщика, зашифрованы документы, архивы, базы 1с. Система стала работать не корректно, не открываются приложения обычным способом, только от имени администратора. Взлом произошел путем подбора пароля к RDP, затем применили эксплоит, запустили CMD от админа и создали новую учетку с которой произошло шифрование. Есть скриншоты действий злоумышленников так же прилагаю. Прошу помощи по восстановлению работы системы и по возможности расшифровки файлов.

Addition.txt FRST.txt Требования.txt Скрины.rar

22 сентября, 2024

Добавьте несколько зашифрованных файлов и записку о выкупе с оригинальным именем в одном архиве без пароля

22 сентября, 2024

Файлы добавил

vp.rar

22 сентября, 2024

Систему необходимо пролечить из под загрузочного диска KRD. так как есть признаки заражения вирусом Neshta

HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ

2024-09-22 10:27 - 2024-09-22 11:09 - 000041472 _____ C:\WINDOWS\svchost.com

после завершения проверки продолжим очистку системы

22 сентября, 2024

Систему пролечил

Addition.txt FRST.txt

22 сентября, 2024

По очистке системы в FRST:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы.

Start::
2024-09-22 10:47 - 2021-07-22 17:41 - 000000000 __SHD C:\Users\fttp\AppData\Local\788C6AA3-AAD0-3FF7-5B92-E3C8AFDFA43F
HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1014\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1018\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1021\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1025\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1029\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1035\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1058\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1059\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1060\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1063\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1064\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1065\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1066\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
HKU\S-1-5-21-4234523307-78177539-2735978336-1067\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
2024-09-22 10:27 - 2024-09-22 13:43 - 000041472 _____ C:\WINDOWS\svchost.com
2024-09-20 23:58 - 2024-09-20 23:58 - 000000969 _____ C:\Users\fttp\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-09-20 23:58 - 2024-09-20 23:58 - 000000969 _____ C:\Decrypt_ELPACO-team_info.txt
2024-09-20 23:58 - 2024-09-20 23:58 - 000000000 ____D C:\Users\fttp\AppData\Roaming\Process Hacker 2
2024-09-20 23:58 - 2024-09-20 23:58 - 000000000 ____D C:\temp
2024-09-20 23:49 - 2024-09-20 23:49 - 000000000 ____D C:\ProgramData\IObit
2024-09-20 23:49 - 2024-09-20 23:49 - 000000000 ____D C:\Program Files (x86)\IObit
fttp (S-1-5-21-4234523307-78177539-2735978336-1067 - Limited - Disabled) => C:\Users\fttp
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

22 сентября, 2024

Отправил в ЛС

23 сентября, 2024

Ответил

mimic/n3wwv43 ransomware Шифровальщик ELPACO-team el_kurva@tuta.io

Рекомендуемые сообщения

arx

safety

arx

safety

arx

safety

arx

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum