mimic/n3wwv43 ransomware Шифровальщик Elenor-corp

[workforfuns]

Здравствуйте, появился ли дешифратор?

Addition.txt FRST.txt ЭЛЕНОР КОРП (1).7z

Изменено 23 апреля пользователем workforfuns

[safety]

По очистке системы выполните:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\...\Run: [systemsg.exe] => C:\Users\memhash\AppData\Local\Decrypt_ELENOR-corp_info.txt [994 2025-04-22] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {E57E86CC-FB31-4D9A-972E-1AB7A32125F8} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-2184213260-615971735-1779829484-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-2184213260-615971735-1779829484-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
2025-04-23 02:44 - 2025-04-23 02:44 - 000000994 _____ C:\Users\memhash\Desktop\Decrypt_ELENOR-corp_info.txt
2025-04-23 01:02 - 2025-04-23 01:02 - 000000000 ____D C:\Users\memhash\AppData\Roaming\Process Hacker 2
2025-04-23 00:58 - 2025-04-23 00:58 - 000000430 _____ C:\Windows\system32\u1.bat
2025-04-23 06:04 - 2023-02-24 05:42 - 000000000 __SHD C:\Users\memhash\AppData\Local\510DB345-C742-58BB-4CDE-0F349D882429
2025-04-23 01:03 - 2025-04-23 01:03 - 000000000 ____D C:\temp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 23 апреля пользователем safety

[workforfuns]

прикрепил и ссылка на yadisk

архив загружен, ссылка удалена
FRST.txt

Изменено 23 апреля пользователем safety
архив загружен, ссылка удалена

[safety]

Просил добавить Fixlog.txt

Цитата

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

юзера создали с правами Администратора, из под него затем и шифровали.
 

Цитата

 

set  user=memhash
set  pass=Memhash_123

net user %user% %pass% /add /Passwordchg:Yes
net localgroup %AdmGroup% %user% /add

 

Проверьте ЛС.

[workforfuns]

Fixlog.txt ESVC_SNIKERS_20250423172739.zip

[safety]

Система уязвима:

MS16-032,,no
MS17-010,EternalBlue,no
CVE-2019-0708,BlueKeep,no
"CVE-2019-1181, CVE-2019-1182",DejaBlue,no
CVE-2021-34527,PrintNightmare,no

 

Учетная запись создана на момент шифрования:

memhash,23.04.2025 00:59:31 (?),yes,no,yes,yes

 

Защита учетных записей от брутфорса не включена. Ставить 20-30.

Lockout threshold,Никогда

 

Учетная запись с правами Администратора создана на момент шифрования. Запуск шифровальщика, очистка журналов был из под нее.

23.04.2025 06:04:05.819,Windows Event Log,"Log ""Security"" was cleared by Snikers\memhash."
23.04.2025 06:04:05.819,Windows Event Log,"Log ""Application"" was cleared by Snikers\memhash."
23.04.2025 06:04:05.809,Windows Event Log,"Log ""System"" was cleared by Snikers\memhash."
23.04.2025 00:59:31.438,Local Users,"Local user ""memhash"" was created."

----------

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

С расшифровкой файлов по данному типу шифровальщика, увы, не сможем помочь.

 

 

 

Изменено 23 апреля пользователем safety