mimic/n3wwv43 ransomware log работы ELPACO-team

[Anix]

Отключил винт и подцепил его к виртуалке,
нашёл лог работы заразы.

Может поможет в создании лекарства

temp.rar

[safety]

Добавьте, пожалуйста, логи FRST + записку о выкупе, + несколько зашифрованных файлов в архиве без пароля.

[Anix]

а архив папки с вирусом весит под 13 метров
и как её передать? (ограничение 5)

FRST.txt Decrypt_ELPACO-team_info.rar files.rar

[safety]

3 минуты назад, Anix сказал:

а архив папки с вирусом весит под 13 метров
и как её передать? (ограничение 5)

Архив с вредоносным кодом должен быть с паролем virus, врхив загрузить на облачный диск и дать ссылку на загрузку архива в личные сообщения. (ЛС)

Изменено 21 октября, 2024 пользователем safety

[safety]

По очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\...\Run: [systemsg] => C:\Users\NMarchuk\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620\systemsg.exe [2469888 2022-01-04] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\magnify.exe: [Debugger] C:\Windows\system32\cmd.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] C:\Windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\NMarchuk\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => не найдено
2024-10-15 13:50 - 2024-10-15 13:50 - 002196679 _____ C:\Users\ftp$.rar
2024-10-11 13:52 - 2024-10-15 10:36 - 000000969 _____ C:\Users\NMarchuk\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-10-11 13:52 - 2024-10-15 10:35 - 000000969 _____ C:\Decrypt_ELPACO-team_info.txt
2024-10-11 13:52 - 2024-10-15 10:35 - 000000000 ____D C:\temp
2024-10-11 13:38 - 2024-10-11 13:38 - 000000000 ____D C:\Users\NMarchuk\Desktop\netSCAN
2024-10-21 13:29 - 2023-02-10 04:32 - 000000000 __SHD C:\Users\NMarchuk\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено 21 октября, 2024 пользователем safety

[safety]

С расшифровкой по данному типу шифровальщика не сможем помочь.