mimic/n3wwv43 ransomware Шифровальщик Trojan-Ransom.Win32.Mimic.gen Zero_day

[Ruslan01]

Добрый день, в понедельник 29 января все файлы оказались зашифрованы. В архиве файлы и текст выкупа. Мошенники скидывали дешифратор, но он не сработал, остался файл, если понадобится (касперский определил его как HEUR:Trojan.MSIL.Agent.gen). Файл шифровальщика "zero_day.exe" тоже остался (касперском определил как HEUR:Trojan-Ransom.Win32.Mimic.gen)

FRST.txt Addition.txt Files_zero_day.zip

[safety]

Для начала пролечите систему с помощью AVBR

1.Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST

 

[Ruslan01]

FRST.txtAV_block_remove_2024.01.31-12.01.logAddition.txt

[safety]

Эти файлы добавьте в отдельный архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

2024-01-31 10:15 - 2024-01-31 10:15 - 001476201 _____ C:\Users\Администратор\Desktop\Zero_day.zip

2024-01-30 13:43 - 2024-01-30 13:43 - 001945880 _____ C:\Users\Администратор\Desktop\decr_payload.exe

2024-01-30 11:07 - 2024-01-31 08:17 - 000003030 _____ C:\rdpwrap.txt

2024-01-30 07:28 - 2024-01-30 07:28 - 001945880 _____ C:\Users\Diana\Desktop\decr_payload.exe

 

 

[Ruslan01]

5 часов назад, safety сказал:

Эти файлы добавьте в отдельный архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

2024-01-31 10:15 - 2024-01-31 10:15 - 001476201 _____ C:\Users\Администратор\Desktop\Zero_day.zip

2024-01-30 13:43 - 2024-01-30 13:43 - 001945880 _____ C:\Users\Администратор\Desktop\decr_payload.exe

2024-01-30 11:07 - 2024-01-31 08:17 - 000003030 _____ C:\rdpwrap.txt

2024-01-30 07:28 - 2024-01-30 07:28 - 001945880 _____ C:\Users\Diana\Desktop\decr_payload.exe

 

 

Ок.

Хочу добавить, что пользователь John был создан в результате действий вируса с правами администратора

 

Отправил ссылку. Файл пользователя Diana в отдельном архиве, подписан.

Изменено 31 января пользователем Ruslan01
Уточнение

[safety]

decr_payload.exe  похож на дешифратор, но скорее всего к нему нужен ключ для расшифровки файлов.

39 minutes ago, Ruslan01 said:

Хочу добавить, что пользователь John был создан в результате действий вируса с правами администратора

Добавлю удаление John в скрипт очистки для FRST

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\DRM\K1REul8Dt5nBVk\CheckGlobalV.bat  (Нет файла) <==== ВНИМАНИЕ
2024-01-31 10:15 - 2024-01-31 10:15 - 001476201 _____ C:\Users\Администратор\Desktop\Zero_day.zip
2024-01-31 10:00 - 2024-01-31 10:00 - 000467087 _____ C:\Users\Администратор\Desktop\Files_zero_day.zip
2024-01-31 09:59 - 2024-01-29 04:18 - 000000324 _____ C:\Users\Администратор\Desktop\Zero_day_DECRYPTION.txt
2024-01-31 09:44 - 2024-01-31 09:44 - 000163209 _____ C:\Users\Diana\Desktop\Files_Zero_days.zip
2024-01-30 11:07 - 2024-01-31 08:17 - 000003030 _____ C:\rdpwrap.txt
2024-01-30 07:28 - 2024-01-30 07:28 - 001945880 _____ C:\Users\Diana\Desktop\decr_payload.exe
2024-01-28 13:06 - 2024-01-31 11:35 - 000000000 ____D C:\Users\John
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`20hfm [0]
FirewallRules: [{88C45547-F109-48DE-9EE9-4D10393C6BE9}] => (Allow) C:\Users\Diana\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{928189FC-0675-40C0-9D42-D354F40D8019}] => (Allow) C:\Users\Diana\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{FC849866-F8DA-45BF-A18D-F33232398CDE}] => (Allow) C:\Users\Diana\AppData\Local\Yandex\YandexBrowser\Application\browser.exe => Нет файла
FirewallRules: [TCP Query User{EF4DE04D-A39C-4734-9749-55D4A5141617}C:\users\diana\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\diana\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [UDP Query User{1D6278CE-C604-4667-A738-7FBC11D66F54}C:\users\diana\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\diana\appdata\roaming\utorrent web\utweb.exe => Нет файла
EmptyTemp:
Reboot:
End::

после перезагрузки системы добавьте файл Fixlog.txt из папки, откуда запускали FRST

[safety]

по расшифровке файлов после данного типа шифровальщика не сможем помочь без приватного ключа. сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

 

Выполните рекомендации из ЛС по защите устройства от будущих атак..

[Ruslan01]

1 час назад, safety сказал:

сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Это будущее примерно когда может наступить? Или в каком случае оно наступит?

[safety]

13 minutes ago, Ruslan01 said:

Это будущее примерно когда может наступить? Или в каком случае оно наступит?

Будущее может не наступить. Очень редко, но бывает, что злоумышленников ловит полиция или их пробивает на совесть, и они делятся приватными ключами. Иногда исследователи обнаруживают уязвимости в ПО шифровальщика и создают дешифратор для всех. Второе более реально, так как российских пользователей сейчас активно атакуют злоумышленники из других стран.  Видимо считают что в России живут и работают относительно благополучные в финансовом отношении люди и компании.

Изменено 31 января пользователем safety