mimic/n3wwv43 ransomware Вирус шифровальщик заменил расширения на Elpaco-team

[Dmitryplss]

Добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С, в локальной сети так же зашифрованные файлы

File.rar Addition.txt FRST.txt

[safety]

Добавьте так же несколько зашифрованных файлов в одном архиве.

[Dmitryplss]

Надеюсь, я правильно вас понял

File2.rar

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\...\Run: [systemsg.exe] => C:\Users\adnimitsrator\AppData\Local\Decrypt_ELPACO-team_info.txt [969 2025-01-05] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\newone\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-01-08 11:19 - 2025-01-08 11:19 - 000000000 ____D C:\Users\newone\AppData\Roaming\Process Hacker 2
2025-01-05 01:13 - 2025-01-05 01:13 - 000000000 ____D C:\Users\adnimitsrator\AppData\Roaming\Process Hacker 2
2025-01-05 01:12 - 2025-01-05 01:12 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-01-05 01:12 - 2025-01-05 01:12 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-01-05 07:10 - 2024-02-10 04:32 - 000000000 __SHD C:\Users\adnimitsrator\AppData\Local\7624D9E2-C0B7-9085-4568-31A3E60FC620
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Dmitryplss]

https://disk.yandex.ru/d/AKHgQ-w6gk2kcw

Fixlog.txt

[safety]

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.