mimic Взлом по RDP и шифровка файлов

9 января, 2024

Добрый день!

Windows 7 Pro x64

Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).

В дальнейшем предполагаю переставить систему.

Addition.txt files.zip FRST.txt

Изменено 9 января, 2024 пользователем Владимир В. А.

9 января, 2024

Систему уже проверяли антивирусными сканерами? можете предоставить логи сканирования?

С расшифровкой не поможем, файлы зашифрованы Mimic/N3ww4v3, сохраните важные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено 9 января, 2024 пользователем safety

9 января, 2024

Нет, пока только обнаружил тело вируса. Проверять утилитами Касперского и ДрВеба?

9 января, 2024

Файлы шифровальщика заархивируйте в один файл с паролем infected, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 9 января, 2024 пользователем safety

9 января, 2024

Сделал.

Оказывается шифровка шла одновременно с нескольких разных компьютеров, с разным и decrypt id и в некоторых местах перешифровал свои же ini и db поэтому взял где более полно файлы есть шифровщика, и оттуда же зашифрованные файлы

files2.zip

9 января, 2024

12 minutes ago, Владимир В. А. said:

Сделал.

известен в течение 1, 5 месяцев, детектируется основными антивирусами.

Quote

с разным и decrypt id

ID есть в записках о выкупе.

YOUR PERSONAL DECRYPTION ID - XXXXXXXXXXXXXXXXXXXXXX*ZERODAYHORSE

Изменено 9 января, 2024 пользователем safety

7 мая, 2024

Хотелось бы вернуться к решения последствий.

После выкупа прислали дешифраторы, после запуска дешифратора на уже свежепоставленной win 10 при загрузке (перезагрузке) монтируются загрузочные разделы (которые по 100-500Мб) на буквы z y и так далее.

Не могу понять, где это вычистить..

Автозагрузку смотрел, ничего подозрительно. Mount points проверял, вроде тоже ничего подозрительного, но это не точно) куда еще можно посмотреть?

Изменено 7 мая, 2024 пользователем Владимир В. А.

8 мая, 2024

до шифрования на диске было сколько разделов? после работы дешифратора под каждый раздел добавлены загрузочные разделы?

8 мая, 2024

9 часов назад, safety сказал:

до шифрования на диске было сколько разделов? после работы дешифратора под каждый раздел добавлены загрузочные разделы?

До шифрования был ссд c вин7, после шифрования, ссд был отформатирован в GPT с тремя разделами - 1, EFI 100МБ, 2, раздел с системой 446ГБ, 3, "Раздел восстановления" 520МБ.

После перезагрузки 1 и 3 раздел получают буквы Z и Y, удаляю через diskpart, после перезагрузки снова.

8 мая, 2024

Возможно, какой-то софт монтирует эти области диска через буквы. Пробуйте обратиться в раздел компьютерной помощи. (Я, кстати, тоже замечал это при тестовых расшифровках по mimic на VM W7)

Изменено 8 мая, 2024 пользователем safety

mimic Взлом по RDP и шифровка файлов

Рекомендуемые сообщения

Владимир В. А.

safety

Владимир В. А.

safety

Владимир В. А.

safety

Владимир В. А.

safety

Владимир В. А.

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum