mimic/n3wwv43 ransomware Вирус шифровальщик заменил расширения на Elpaco-team

[DenSyaoLin]

добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С нет доступа к бэкапам и точкам восстановления. читал темы, и понимаю что дешифратора от этой гадости еще нет, хотелось бы надеяться на чудо и может вдруг что то получится. спасибо заранее

по тому что уже сделал, выполнил проверку касперским, что то он нашел, удалил, а вот что нашел не подскажу, оставлял проверку на ночь.

необходимые файлы прикладываю

Addition.txt Files.rar FRST.txt

Изменено 28 декабря, 2024 пользователем DenSyaoLin
случайно опубликовал недописанный пост

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[DenSyaoLin]

10 минут назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

сорри, случайно нажал Enter, и тема опубликовалась, все поправил

 

[safety]

В этой папке покажите что осталось, папка может быть с атрибутом hidden:

2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8

 

[DenSyaoLin]

множество файлов данного типа с последовательной нумерацией, в конце вот эти файлы, так понимаю Сессион.тмр может быть вреден

1 час назад, safety сказал:

В этой папке покажите что осталось, папка может быть с атрибутом hidden:

2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8

 

 

[safety]

session.tmp - это сессионный публичный ключ, которым выполняется шифрование, в расшифровке файлов он не поможет.

 

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-26 12:40 - 2024-12-26 18:51 - 000000967 _____ C:\Users\bux3\Desktop\Decrypt_ELPACO-team_info.txt
2024-12-26 12:33 - 2024-12-26 18:57 - 000000967 _____ C:\Users\bux3\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-12-26 12:32 - 2024-12-26 18:56 - 000000000 ____D C:\temp
2024-12-14 18:05 - 2024-09-09 14:11 - 000000668 _____ C:\Users\Администратор\advanced_ip_scanner_MAC.bin
2024-12-14 18:05 - 2024-09-09 14:11 - 000000015 _____ C:\Users\Администратор\advanced_ip_scanner_Comments.bin
2024-12-14 18:05 - 2024-09-09 14:11 - 000000015 _____ C:\Users\Администратор\advanced_ip_scanner_Aliases.bin
2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 29 декабря, 2024 пользователем safety

[DenSyaoLin]

11 часов назад, safety сказал:

session.tmp - это сессионный публичный ключ, которым выполняется шифрование, в расшифровке файлов он не поможет.

 

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-26 12:40 - 2024-12-26 18:51 - 000000967 _____ C:\Users\bux3\Desktop\Decrypt_ELPACO-team_info.txt
2024-12-26 12:33 - 2024-12-26 18:57 - 000000967 _____ C:\Users\bux3\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-12-26 12:32 - 2024-12-26 18:56 - 000000000 ____D C:\temp
2024-12-14 18:05 - 2024-09-09 14:11 - 000000668 _____ C:\Users\Администратор\advanced_ip_scanner_MAC.bin
2024-12-14 18:05 - 2024-09-09 14:11 - 000000015 _____ C:\Users\Администратор\advanced_ip_scanner_Comments.bin
2024-12-14 18:05 - 2024-09-09 14:11 - 000000015 _____ C:\Users\Администратор\advanced_ip_scanner_Aliases.bin
2024-12-26 18:43 - 2023-12-15 14:18 - 000000000 __SHD C:\Users\bux3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

добрый день, выполнил процедуру добавляю файлы https://disk.yandex.ru/d/Tm2BdSLumVCXLQ

Fixlog.txt

 

также с данной заразой имеется еще один комп, скидываю данные сканирования FRST как предыдущий раз, можете пожалуйста глянуть, спасибо

Addition.txt Files.rar FRST.txt

Изменено 29 декабря, 2024 пользователем DenSyaoLin

[safety]

По второму ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\pfp3\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-12-26 12:41 - 2024-12-26 12:41 - 000000967 _____ C:\Users\pfp3\Desktop\Decrypt_ELPACO-team_info.txt
2024-12-26 12:32 - 2024-12-26 12:41 - 000000967 _____ C:\Users\pfp3\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-12-26 12:31 - 2024-12-26 12:41 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-12-26 12:31 - 2024-12-26 12:31 - 000000000 ____D C:\temp
2024-12-26 12:10 - 2024-12-26 12:10 - 000000437 _____ C:\Windows\system32\u1.bat
2024-12-26 15:34 - 2022-10-18 11:10 - 000000000 __SHD C:\Users\pfp3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[DenSyaoLin]

20 минут назад, safety сказал:

По второму ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\pfp3\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-12-26 12:41 - 2024-12-26 12:41 - 000000967 _____ C:\Users\pfp3\Desktop\Decrypt_ELPACO-team_info.txt
2024-12-26 12:32 - 2024-12-26 12:41 - 000000967 _____ C:\Users\pfp3\AppData\Local\Decrypt_ELPACO-team_info.txt
2024-12-26 12:31 - 2024-12-26 12:41 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2024-12-26 12:31 - 2024-12-26 12:31 - 000000000 ____D C:\temp
2024-12-26 12:10 - 2024-12-26 12:10 - 000000437 _____ C:\Windows\system32\u1.bat
2024-12-26 15:34 - 2022-10-18 11:10 - 000000000 __SHD C:\Users\pfp3\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

по второму Пк, сделал исправление ссылка на архив и файл прикрепил https://disk.yandex.ru/d/ygXYXsIaELYO4g

Fixlog.txt

[safety]

ключи шифрования разные на этих двух устройствах. Что вообщем-то и логично.

При каждом запуске шифровальщика Mimic (если не найден сессионный ключ session.tmp) будет использоваться новый ключ.

 

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено 29 декабря, 2024 пользователем safety

[DenSyaoLin]

4 минуты назад, safety сказал:

ключи шифрования разные на этих двух устройствах. Что вообщем-то и логично.

При каждом запуске шифровальщика Mimic (если не найден сессионный ключ session.tmp) будет использоваться новый ключ.

 

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

я так понимаю что ни на одном ни на другом компе восстановить файлы не представляется возможным, без этого приватного ключа,

[safety]

Восстановление возможно, если сохранились незашифрованные бэкапы,

Расшифровать файлы без соответствующих приватных ключей невозможно.

 

кстати, учетная запись ваша, или злоумышленники создали?

 

adnimitsrator (S-1-5-21-159606302-674149571-961983404-1001 - Administrator - Enabled)

судя по логам, использовался этот скрипт

2024-12-26 12:10 - 2024-12-26 12:10 - 000000437 _____ C:\Windows\system32\u1.bat

 

 

Изменено 29 декабря, 2024 пользователем safety