mimic/n3wwv43 ransomware Поймали Шифровальщика

[Insaff]

Во всех расшареных папках зашифрованы файлы.

Файлы имеют расширение ELPACO-team-***gCG***

в некоторых папках лежит письмо с текстом

 

Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
Your data is encrypted by ELPACO-team
Your decryption ID is *****QR14*ELPACO-team-gCG****
Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
The only method of recovering files is to purchase decrypt tool and unique key for you.
If you want to recover your files, write us
1) eMail - el_kurva@tuta.io
2) Telegram - @DataSupport911

Attention!

Do not rename encrypted files. 
Do not try to decrypt your data using third party software - it may cause permanent data loss. 
We are always ready to cooperate and find the best way to solve your problem. 
The faster you write - the more favorable conditions will be for you. 
Our company values its reputation. We give all guarantees of your files decryption.

 

Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)

Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.

 

 

Молотки Можайск.pdf.zip

Изменено 27 сентября, 2024 пользователем safety

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Insaff]

Здравствуйте!

Поймали шифровальщика.

 

Во всех расшареных папках зашифрованы файлы.

Файлы имеют расширение ELPACO-team-gCGi***

в некоторых папках лежит письмо с текстом

прилагаю один файл pdf

Один файл DOC

Записка от шифрователей

файлы от программы Farbar Recovery Scan Tool

 

Зашифрованные файлы.zip Addition.txt FRST.txt

Decrypt_ELPACO-team_info.txt

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

Изменено 27 сентября, 2024 пользователем safety
забыл приложить записку от шифрователей

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

 

Start::
HKLM\...\Run: [systemsg.exe] => C:\Users\1\AppData\Local\Decrypt_ELPACO-team_info.txt [969 2024-09-26] () [Файл не подписан]
HKLM\...\Policies\Explorer\Run: [58825] => C:\PROGRA~3\LOCALS~1\Temp\ccvpxis.bat
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1860753231-224106-3884767442-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-1860753231-224106-3884767442-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
CHR HKU\S-1-5-21-1860753231-224106-3884767442-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKU\S-1-5-21-1860753231-224106-3884767442-1024\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [cinbbhdcfmieecfcfbchhipanhahhonb]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
2024-09-26 20:47 - 2024-09-26 20:47 - 000000969 _____ C:\Users\Decrypt_ELPACO-team_info.txt
2024-09-26 20:47 - 2024-09-26 20:47 - 000000969 _____ C:\Users\1\Desktop\Decrypt_ELPACO-team_info.txt
2024-09-26 10:42 - 2024-09-26 20:47 - 000000969 _____ C:\Decrypt_ELPACO-team_info.txt
2024-09-26 10:42 - 2024-09-26 20:35 - 000000969 _____ C:\Users\1\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-09-04 15:28 - 2024-09-04 15:28 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2024-09-04 15:28 - 2024-09-04 15:28 - 000000000 ____D C:\ProgramData\IObit
2024-09-04 15:28 - 2024-09-04 15:28 - 000000000 ____D C:\Program Files (x86)\IObit
2024-09-04 15:27 - 2024-09-27 14:42 - 002988935 _____ C:\rdpwrap.txt
2024-09-04 15:27 - 2024-09-04 15:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-09-04 15:27 - 2024-09-04 15:27 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-09-04 12:58 - 2024-09-04 12:58 - 000000437 _____ C:\Windows\system32\u1.bat
2024-09-27 07:01 - 2023-02-10 04:32 - 000000000 __SHD C:\Users\1\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

[Insaff]

Не совсем понял инструкцию.

Вначале скопировал текст скрипта, запустил FRST

там нажал кнопку исправить

не знал куда вставить текст. компьютер перезагрузился и я поучил файл Fixlog.txt

потом прочитал инструкцию на другом сайте, что скрипт надо записывать в блокнот с именем fixlist.txt

Я так и сделал и запустил исправить - получил новый файл Fixlog.txt

во вложении Fixlog1.txt

это когда я просто скопировал текст скрипта и запустил исправить

Fixlog.txt это файл когда я создал текстовый файл fixlist.txt (внутри текст со скриптом, который Вы написали выше)

и после этого нажал исправить.

 

Вот ссылка на архив, пароль virus

ссылка удалена

 

Fixlog.txt Fixlog1.txt

Изменено 27 сентября, 2024 пользователем safety
из темы тему приходится писать, чтобы ссылки на архив с удаленными файлами передавались только через личные сообщения.

[safety]

1 час назад, Insaff сказал:

там нажал кнопку исправить

не знал куда вставить текст. компьютер перезагрузился и я поучил файл Fixlog.txt

потом прочитал инструкцию на другом сайте, что скрипт надо записывать в блокнот с именем fixlist.txt

Достаточно скопировать текст скрипта в буфер обмена: т.е. выделить полностью скрипт и через Ctrl+C он копируется в буфер обмена.

Вставлять его никуда не надо. Закрываем браузер. (Скрипт по прежнему хранится в буфере обмена)

Переходим в окно c FRST нажимаем "исправить". FRST извлечет скрипт из буфера обмена и автоматически его выполнит.

Раньше это работало только через сохранение скрипта в файл fixlist.txt, который надо положить в папку с FRST.

Сейчас работает и через буфер обмена и через файл fixlist.txt

-------------

К сожалению, по данному типу шифровальщика не сможем помочь без приватного ключа.

 

Изменено 27 сентября, 2024 пользователем safety