mimic/n3wwv43 ransomware Поймали шифровальщика ELPACO-team

[Шустов А.В.]

Добрый день. Поймали ELPACO-team. Всего 6-ть компов. Просьба в помощи.

Во вложении зашифрованные файлы, файл от злоумышленников и логи FRST.

Файлы ELPACO-team.ZIP Addition.txt FRST.txt

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-10-05 21:43 - 2024-10-05 21:43 - 000000969 _____ C:\Decrypt_ELPACO-team_info.txt
2024-10-04 22:40 - 2024-10-05 21:43 - 000000969 _____ C:\Users\shustov-av.AIS-NPP\Desktop\Decrypt_ELPACO-team_info.txt
2024-10-04 17:46 - 2024-10-04 22:31 - 000000969 _____ C:\Users\shustov-av.AIS-NPP\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-10-04 17:45 - 2024-10-04 17:45 - 000000000 ____D C:\Users\shustov-av.AIS-NPP\AppData\Roaming\Process Hacker 2
2024-10-04 17:44 - 2024-10-04 22:04 - 000000000 ____D C:\temp
2024-10-05 13:40 - 2022-02-06 15:33 - 000000000 __SHD C:\Users\shustov-av.AIS-NPP\AppData\Local\52E5C2D3-0B1B-CF33-C8F5-11A4935AEF33
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

[Шустов А.В.]

Сделал. Как-то быстро FRST моргнул и ни чего не изменилось.

Fixlog.txt вложил.

Сейчас сделаю архив и выложу в облако.

Fixlog.txt

[safety]

Возможно, вы дважды исполнили скрипт.

Цитата

HKLM\software\microsoft\windows\currentversion\policies\system\\"LegalNoticeText"="" => значение успешно восстановлен
"C:\ProgramData\NTUSER.pol" => не найдено
"C:\Decrypt_ELPACO-team_info.txt" => не найдено
"C:\Users\shustov-av.AIS-NPP\Desktop\Decrypt_ELPACO-team_info.txt" => не найдено
"C:\Users\shustov-av.AIS-NPP\AppData\Local\Decrypt_ELPACO-team_info.txt" => не найдено
"C:\Users\shustov-av.AIS-NPP\AppData\Roaming\Process Hacker 2" => не найдено
"C:\temp" => не найдено
"C:\Users\shustov-av.AIS-NPP\AppData\Local\52E5C2D3-0B1B-CF33-C8F5-11A4935AEF33" => не найдено

Скрипт не расшифровывает файлы, а только выполняет очистку системы.

 

С расшифровкой по данному типу шифровальщика не сможет вам помочь без приватного ключа.

+

проверьте ЛС.

Изменено 6 октября пользователем safety

[Шустов А.В.]

Ссылку на архив папки Quarantine отправил в ЛС.

[safety]

судя по составу карантина система в основном очищена от тел шифровальщика за исключением зашифрованных файлов. С этим пока проблемы. Уже в течение двух лет.

[Шустов А.В.]

Жаль, что не расшифровать. В любом случае спасибо за помощь.

[safety]

стоит сохранить важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Поймают злоумышленников через интерпол, или они сами сольют приватные ключи в общий доступ, что конечно маловероятно.