mimic/n3wwv43 ransomware заразился ELPACO-team

[Alexandr_]

Добрый день, помогите победить шифровальщик от Elpaco-team, зашифровал документы и  базу 1С (

Надеюсь на Вашу помощь

Addition.txt Decrypt_ELPACO-team_info.txt filespdf.rar FRST.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [systemsg.exe] => C:\Users\Andrei\AppData\Local\Decrypt_ELPACO-team_info.txt [967 2025-01-14] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\vladimir\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {173D5258-CA3D-4111-814E-5DD8DE2BD109} - \BossseedUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
Task: {1A2BE777-DA40-4B4E-B347-14CAF94DFA4B} - \fupdate -> Нет файла <==== ВНИМАНИЕ
Task: {45E4C255-66AF-4A12-BD5F-C0FEDD9B0FAF} - \Microsoft\Windows\Multimedia\Manager -> Нет файла <==== ВНИМАНИЕ
Task: {47A91766-FB67-45E1-8169-96A533E4848C} - \SearchGo Task -> Нет файла <==== ВНИМАНИЕ
Task: {6D302145-1F3C-4BCE-B9E2-5C294A2CE9CF} - \BossseedUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
Task: {7588D556-E54A-4801-B606-7CA2BC46DB14} - \ComDev -> Нет файла <==== ВНИМАНИЕ
Task: {8BF2273E-6C39-4EFB-BC0C-56DD9C3007B2} - \sysnet -> Нет файла <==== ВНИМАНИЕ
2025-01-14 17:26 - 2025-01-14 17:26 - 000000967 _____ C:\Users\Andrei\Desktop\Decrypt_ELPACO-team_info.txt
2025-01-14 17:04 - 2025-01-14 17:26 - 000000967 _____ C:\Users\Andrei\AppData\Local\Decrypt_ELPACO-team_info.txt
2025-01-14 17:04 - 2025-01-14 17:26 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2025-01-14 17:04 - 2025-01-14 17:04 - 000000000 ____D C:\temp
2025-01-14 19:24 - 2024-01-01 05:56 - 000000000 __SHD C:\Users\Andrei\AppData\Local\1BCB5402-B625-DF8D-10F9-848460144A65
2025-01-14 16:56 - 2024-12-05 18:51 - 000000435 _____ C:\Windows\system32\u1.bat
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Alexandr_]

https://cloud.mail.ru/public/1Abg/DLNSDSBCr

 

Fixlog.txt

[safety]

С расшифровкой файлов не сможем помочь по данному типу шифровальщика без приватного ключа.