mimic/n3wwv43 ransomware Шифровальщик ELENOR-corp

20 февраля, 2025

Приветствую

По RDP в локальной сети распространился и зашифровал файлы ELENOR-corp на нескольких компьютерах.

Во вложении файлы диагностики Farbar Recovery Scan Tool и архив с требованием и двумя небольшими зашифрованными файлами - всё с одного компьютера.

Также есть файл вируса - готов предоставить по необходимости

Основная цель: расшифровать файлы

Addition.txt FRST.txt Требование и пример файлов.7z

21 февраля, 2025

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(voidtools -> voidtools) C:\Users\Администратор.UP\AppData\Local\1D5A0B4F-8165-0A1A-15FD-D346D3F6CAF0\Everything.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-02-20 21:37 - 2025-02-21 00:16 - 000000000 ____D C:\Users\Администратор.UP\AppData\Roaming\Process Hacker 2
2025-02-20 21:36 - 2025-02-20 21:36 - 000000000 ____D C:\temp
2025-02-21 01:43 - 2023-10-03 04:02 - 000000000 __SHD C:\Users\Администратор.UP\AppData\Local\1D5A0B4F-8165-0A1A-15FD-D346D3F6CAF0
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

21 февраля, 2025

Выполнил скрипт:

Quarentine - https://disk.yandex.ru/d/RvuZr2qkmma2gg

Не реально расшифровать?

Fixlog.txt

21 февраля, 2025

Без приватного ключа, которого у нас нет, расшифровка файлов невозможна по данному типу шифровальщика.

mimic/n3wwv43 ransomware Шифровальщик ELENOR-corp

Рекомендуемые сообщения

Kirill-Ekb

safety

Kirill-Ekb

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum