mimic/n3wwv43 ransomware Зашифровались файлы, ELPACO-TEAM

[Эдуард Autofresh]

Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.

 

FRST.rar

[Sandor]

Здравствуйте!

 

Саму записку (один из файлов с именем Decrypt_ELPACO-team_info.txt) тоже прикрепите к следующему сообщению.

[Эдуард Autofresh]

Decrypt_ELPACO-team_info.txt

[safety]

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Run: [systemsg.exe] => C:\Users\Adnis\AppData\Local\Decrypt_ELPACO-team_info.txt [969 2024-11-04] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\Adnis\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Владелец\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-11-04 00:06 - 2024-11-04 00:06 - 000000000 ____D C:\temp
2024-11-04 03:27 - 2023-02-10 04:32 - 000000000 __SHD C:\Users\Adnis\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено 4 ноября пользователем safety

[Эдуард Autofresh]

Fixlog.txt

[safety]

1 час назад, Эдуард Autofresh сказал:

На первом зараженном компьютере диспетчер задач не открывается.

после выполнения скрипта должен  заработать. (Запуск был блокирован таким образом)

IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe

 

[Эдуард Autofresh]

Да, диспетчер заработал

[safety]

Журналы событий скорее всего зачищены

Цитата

[03:27:37] [+] Success run: wevtutil.exe cl security (pid:2448)
[03:27:37] [+] Success run: wevtutil.exe cl system (pid:1880)
[03:27:37] [+] Success run: wevtutil.exe cl application (pid:1672)

атакованы были еще три устройства:

Цитата

[00:06:50] [x] \\192.168.2.61\C$
[00:06:50] [x] \\192.168.2.157\C$
[00:06:50] [x] \\192.168.2.132\C$

 

 

[Эдуард Autofresh]

Только что, safety сказал:

Журналы событий скорее всего зачищены

атакованы были еще три устройства:

 

 

[00:06:50] [x] \\192.168.2.132\C$ на данном ip нет ни 1 зашифрованного файла...

[00:06:50] [x] \\192.168.2.61\C$ на этом ip зашифрованы файлы в папке, куда был настроен доступ для бэкапов с зараженного компа

[00:06:50] [x] \\192.168.2.157\C$ не могу найти в сети...

 

[safety]

Возможно, тогда запуск был  еще на одном устройстве.

Сделайте по всем зашифрованным устройствам, которые обнаружены так же логи FRST

[Эдуард Autofresh]

А по этим логам можете что то сказать? тоже файлы зашифрованы

Addition.txt FRST.txt

Надо ли этот компьютер лечить?

И вот основной сервер... 

Addition.txt FRST.txt

[safety]

Цитата

Файл шифровальщика не нашел.

самоудалились после завершения шифрования.

Цитата

"C:\Users\Adnis\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620\systemsg.exe" & cd /d "C:\Users\Adnis\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620" & Del /f /q /a *.exe *.ini *.dll *.bat *.db" (pid:2572)

 

по последним логам:

 

Здесь нет следов запуска шифровальщика, шифрование файлов было по сетевым шарам одним и тем же ключом.

***dBkQ

 

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

Изменено 5 ноября пользователем safety