mimic/n3wwv43 ransomware Шифровальщик ELENOR-corp

[irkutyanin]

Приветствую! Взломали терминальный сервер (пока не разобрались как попали на него, доступ снаружи был строго по VPN) и зашифровали данные.

Так же странно что файлы с требованиями отсутствуют. Прошу помощи в расшифровке файлов.

1.rar Addition.txt FRST.txt

[safety]

Запуск шифровальщика мог быть на другом устройстве, здесь же, скорее всего, были затронуты общие ресурсы.

Следов запуска шифровальщика нет в логах.

Проверьте здесь есть ли папка C:\temp, в ней должен быть файл session.tmp размером 32 байта.

Запска о выкупе может иметь такое название:

Decrypt_ELENOR-corp_info.txt

Судя по тому что затронут профиль пользователя:

C:\Users\Svetlana

проверьте в первую очередь еее устройство, и добавьте с  него логи FRST

[irkutyanin]

1. Вообще какая-то странная ситуация, общих сетевых ресурсов у данного сервера нет, работа велась исключительно в терминальных сессиях, каким образом были зашифрованы все профиля не понятно.

2. Папки C:\temp нет

3. Точно не Svetlana, она только вечером зашла на сервер когда все уже было зашифровано. Судя по системным логам с утра работала только Galina, потом в 14-25 была авторизация под пользователем TSERV$, но такой учетки у нас никогда не было, через час проходит авторизация у администратора  и ему назначаются особые привилегии, после чего начинается процесс шифрования, но ни следов, ни файла с требованиями нет.

 

[safety]

Судя по логам, да, затронуты все  профили:

Quote

2025-03-27 15:30 - 2020-10-23 11:39 - 000012943 _____ C:\Users\Svetlana\Desktop\НАЛОГ НА ПРИБЫЛЬ АВАНГАРД.xlsx.ELENOR-corp-***
2025-03-27 15:30 - 2020-01-23 13:54 - 000528532 _____ C:\Users\Andrey\Desktop\bnk.zip.ELENOR-corp-***
2025-03-27 15:30 - 2019-12-09 14:15 - 000001487 _____ C:\Users\Galina\Desktop\Internet Explorer.lnk.ELENOR-corp-***
2025-03-27 15:30 - 2019-11-27 18:49 - 000001006 _____ C:\Users\Public\Desktop\Firefox.lnk.ELENOR-corp-***

+

Проверьте ЛС.

+

сделайте такой лог, так как вижу, что у вас установлен продукт ESET.

 

ESET Log Collector это приложение, которое автоматически собирает информацию и журналы с компьютера, чтобы помочь вопросы разрешать быстрее

скачать программу отсюда:
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  

В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.

Изменено 28 марта пользователем safety

[irkutyanin]

eea_logs.zip

[safety]

Хорошо, ELC чуть позже проверю, пока нечем смотреть.

[safety]

Судя по событиям из журнала ELC, антивирус давно не обновляется,

версия продукта устаревшая:

"Версия графического интерфейса пользователя" = "EEA 5.0.2126.3"

"Модуль обновления" = "1077 (20200622)"

т.е. данный продукт в системе бесполезен.

обнаружений в логах по текущему зловреду нет. Карантин чист.