Перейти к содержанию

Поймали шифровальщик Mimic/N3ww4v3

Alexoon
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки системы 

Start::
IFEO\1cv8.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
S3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2022-05-18] (Stas'M Corp.) <==== ATTENTION (no ServiceDLL)
Unlock: C:\Users\redadmin\AppData\Local\C89AF916-D188-C743-093A-474FC89D97AA
Unlock: C:\Users\soli\AppData\Local\C89AF916-D188-C743-093A-474FC89D97AA
HKLM\...\Run: [CHTO_S_EBALOM] => C:\Users\redadmin\AppData\Local\C89AF916-D188-C743-093A-474FC89D97AA\CHTO_S_EBALOM.exe [0 0000-00-00] () [Access Denied]
2024-02-19 17:50 - 2023-08-19 15:16 - 000000000 __SHD C:\Users\redadmin\AppData\Local\C89AF916-D188-C743-093A-474FC89D97AA
2024-02-19 17:45 - 2022-11-19 15:58 - 000000000 __SHD C:\Users\soli\AppData\Local\C89AF916-D188-C743-093A-474FC89D97AA
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Добавьте в архив с паролем virus  папку C:\FRST\quarantine, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

safety

safety

Опубликовано
Опубликовано

Добавьте файл Fixlog.txt (после скрипта) из папки, откуда запускали FRST в ваше сообщение.

safety

safety

Опубликовано
Опубликовано (изменено)

новый скрипт очистки:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки системы


  

Start::
HKLM\...\Run: [CHTO_S_EBALOM.exe] => C:\Users\soli\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt [688 2024-02-19] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] CHTO_S_EBALOM Ransomware!!!
2024-02-19 17:46 - 2024-02-19 17:50 - 000000688 _____ C:\Users\redadmin\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-19 17:27 - 2024-02-19 17:27 - 000000688 _____ C:\Users\soli\Desktop\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-19 17:21 - 2024-02-19 17:27 - 000000000 ____D C:\Program Files\Process Hacker
2024-02-19 17:21 - 2024-02-19 17:21 - 000001535 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker.lnk
2024-02-19 17:15 - 2024-02-19 17:27 - 000000688 _____ C:\Users\soli\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-19 17:14 - 2024-02-19 17:50 - 000000688 _____ C:\CHTO_S_EBALOM_DECRYPTION.txt
End::

по очистке все.

Расшифровки по данному типу шифровальщика к сожалению нет, на текущий момент без приватного ключа.

Сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

+

проверьте ЛС

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexeich
      Поймали шифровальщик Mimic/N3ww4v3
      Автор alexeich
      Помогите, аналогичная ситуация
       
      Сообщение от модератора mike 1 Часть сообщений вынесено в новую тему  
      FRST.txtAddition.txt
      MIMIC_LOG.txt
    • Дмитрий Т.
      Шифровальщик Mimic/N3ww4v3
      Автор Дмитрий Т.
      Атакован 25 февраля через RDP.
      Зашифрованы файлы на самом компьютере и на файловом сервере, к которому был подключен данный компьютер.
      Прошу помощи.
      FRST.txtShortcut.txtAddition.txtCHTO_S_EBALOM_DECRYPTION.txt
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • Pacific-A
      Столкнулся с шифровальщиком N3ww4v3 Ransomware Mimic .an8uxv2w
      Автор Pacific-A
      Здравствуйте,
      вот и я проявил неосторожность, в результате столкнулся с шифровальщиком.
      Подхватил, предположительно, через плохо защищенный RDP
      В результате, ценные архивы и рабочие файлы зашифрованы.
       
      В прицепе:
       - архив с вирусным файлом и файлами, которые лежали вместе с ним (пароль "virus")
       - архив с примерами - несколько зашифрованных файлов(jpeg) + незашифрованные оригиналы(jpeg), зашифрованные текстовые файлы
       - отчет FRST.txt
       
      уже прочитал соседнюю ветку, о том, что расшифровки этого типа вымогателя нет
      пишу, что бы зафиксировать эпизод. И если вдруг случатся рекомендации по расшифровке, то буду крайне признателен.
       
      Здесь статья об этом шифровальщике.
       
       
      virus-files exeonly.zip записка и образцы файлов.zip
    • Steelot
      Шифровальщик mimic
      Автор Steelot
      Поймали шифровальщик mimic закриптовались базы 1с даже в архиве, есть ли хоть какой то шанс что то восстановить?
      FRST.txt
×
×
  • Создать...