n3ww4v3 Шифровальщик с расширением t4c2ewdqca

[alexanderppp]

Добрый день,

 

За эти выходные зашифровались файлы на сервере 1С, тестовом ноутбуке и NAS хранилище.

Зашифровались все файлы - офисные, системные, а также базы данных.

Ноутбук при перезагрузке не загружается, пишет, что не найдена ОС (логично, т.к. системные файлы в т.ч. зашифрованы и теперь имеют другое расширение).

1С сервер (win10 pro) не перезагружали. NAS QNAP TS-210

28112022.rar

[Sandor]

Здравствуйте!

 

Тип вымогателя N3ww4v3 Ransomware. К сожалению, расшифровки нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

[alexanderppp]

Спасибо. Очень жаль.

Да, помощь в очистке нужна, переустановку не планируем.

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус, но не отключайте сеть.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [systemi64.exe] => C:\Users\1C Server\AppData\Local\Instruction.txt [2143 2022-11-26] () [Файл не подписан]
  HKLM\...\Policies\system: [legalnoticecaption]  
  HKLM\...\Policies\system: [legalnoticetext] ￐ﾒ￐ﾰ￑ﾈ￐ﾸ ￐ﾴ￐ﾾ￐ﾺ￑ﾃ￐ﾼ￐ﾵ￐ﾽ￑ﾂ￑ﾋ, ￐ﾱ￐ﾰ￐ﾷ￑ﾋ ￐ﾴ￐ﾰ￐ﾽ￐ﾽ￑ﾋ￑ﾅ ￐ﾸ ￐ﾴ￑ﾀ￑ﾃ￐ﾳ￐ﾸ￐ﾵ ￑ﾄ￐ﾰ￐ﾹ￐ﾻ￑ﾋ ￐ﾱ￑ﾋ￐ﾻ￐ﾸ ￐ﾷ￐ﾰ￑ﾈ￐ﾸ￑ﾄ￑ﾀ￐ﾾ￐ﾲ￐ﾰ￐ﾽ￑ﾋ. ￐ﾝ￐ﾾ ￐ﾽ￐ﾵ ￑ﾁ￑ﾂ￐ﾾ￐ﾸ￑ﾂ ￐﾿￐ﾵ￑ﾀ￐ﾵ￐ﾶ￐ﾸ￐ﾲ￐ﾰ￑ﾂ￑ﾌ! 
  HKU\S-1-5-21-2166292853-3061830652-2962175116-1003\...\MountPoints2: {89efbeb4-060e-11ec-8a17-382c4ab0adfc} - "H:\OInstall.exe" 
  IFEO\agntsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\AutodeskDesktopApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\axlbridge.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\bedbh.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\benetns.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\bengien.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\beserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\CoreSync.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\Creative Cloud.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\dbeng50.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\dbsnmp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\encsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\EnterpriseClient.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\fbguard.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\fbserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\fdhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\fdlauncher.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\httpd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\isqlplussvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\java.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\msaccess.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\MsDtSrvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\msftesql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\mspub.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\mydesktopqos.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\mydesktopservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\mysqld-nt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\mysqld-opt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\mysqld.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\node.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\ocautoupds.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\ocomm.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\ocssd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\oracle.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
  IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\pvlsvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\python.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\QBDBMgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\QBDBMgrN.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\QBIDPService.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\qbupdate.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\QBW32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\QBW64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\Raccine.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\RaccineElevatedCfg.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\RaccineSettings.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\Raccine_x86.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\RAgui.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\raw_agent_svc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\SearchProtocolHost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\SimplyConnectionManager.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
  IFEO\sqbcoreservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\sql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\sqlagent.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\sqlbrowser.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\sqlmangr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\sqlservr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\sqlwriter.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\Ssms.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\Sysmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\Sysmon64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\tbirdconfig.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\TeamViewer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\TeamViewer_Service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\tomcat6.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\tv_w32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\tv_x64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\vsnapvss.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\vxmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\wdswfsafe.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\wpython.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\wsa_service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\wxServer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\wxServerView.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  IFEO\xfssvccon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
  2022-11-26 02:02 - 2022-11-26 02:02 - 000002143 _____ C:\Users\1C Server\Desktop\Instruction.txt
  2022-11-26 01:50 - 2022-11-26 02:01 - 000002143 _____ C:\Users\1C Server\AppData\Local\Instruction.txt
  2022-11-26 01:49 - 2022-11-26 02:02 - 000002143 _____ C:\Instruction.txt
  HKU\S-1-5-21-2166292853-3061830652-2962175116-1001\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
  FirewallRules: [{BAD52B14-88CE-45AF-A43D-9B7E924697C6}] => (Allow) LPort=3389
  FirewallRules: [{6D1E0593-9B02-41A4-AFCA-9F12BFB0A32A}] => (Allow) LPort=1688
  FirewallRules: [TCP Query User{6A6E352B-E66A-498D-B09F-2B69A9F2190A}C:\users\buh\desktop\anydesk.exe] => (Block) C:\users\buh\desktop\anydesk.exe => Нет файла
  FirewallRules: [UDP Query User{CADAE6A9-8144-43A5-A4B4-E27311D1B265}C:\users\buh\desktop\anydesk.exe] => (Block) C:\users\buh\desktop\anydesk.exe => Нет файла
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[alexanderppp]

Хотел уточнить, прежде чем выполню действия выше, не приведет ли это к тому, что ОС не загрузится после перезагрузки ПК, т.к. системные файлы зашифрованы? 

[Sandor]

13 минут назад, alexanderppp сказал:

т.к. системные файлы зашифрованы

Как вы это определили? Покажите скриншотом.

[alexanderppp]

16 часов назад, Sandor сказал:

Как вы это определили? Покажите скриншотом.

Не нашел следов шифрования и выполнил все по Вашей инструкции, антивирус перед началом отключил. 

После ребута на ПК, как и на ноутбуке ранее, черный экран с сообщением: 

An operating system wasn't found. Try disconnecting any drives that don't contain an operating system. 

Press Ctrl+Alt+Del to restart 

То есть все-таки вирус затронул системные файлы.

 

Fixlog.txt прикрепил

Fixlog.txt

[Sandor]

Это странно, по логам ничего подобного не было видно. А фикс в том числе показал:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

Попробуйте загрузиться с установочной флешки, войти в режим восстановления и попытаться исправить загрузку.

[alexanderppp]

Спасибо. Метод с флешкой помог, восстановил через режим восстановления.