mimic/n3wwv43 ransomware Комп заразился вирусом-шифровальщиком

[Berkut1]

Причину не знаю. На комп заходил по виндоусовскому удаленному рабочему столу. Ничего не скачивал и не открывал. Кодировка произошла 14.02.2024г. С вымогателями общался через какой-то защищенный чат utox_x86_64. Переписки не осталось. Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов. Пытался сам расшифровать файлы с помощью бесплатных утилит Касперского. Теперь обращаюсь к Вам. Все файлы открываются так:

CHTO_S_EBALOM Ransomware!!!
ATTENTION!
YOUR PERSONAL DECRYPTION ID - YI3G3AShkaayDiguW29orWlSlpKI8dDXd28JnNVQcH8*CHTO_S_EBALOM
At the moment, your system is not protected.
We can fix it and restore your files.
To get started, send 1-2 small files to decrypt them as proof
You can trust us after opening them
2.Do not use free programs to unlock.
OUR CONTACTS:
1) TOX messenger (fast and anonymous)
https://tox.chat/download.html
Install qtox
Press sign up
Create your own name
Press plus
Put there our tox ID:
E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
And add me/write message
2)ICQ - @CHTO_S_EBALOM
3)SKYPE - CHTO_S_EBALOM DECRYPTION

Addition.txt FRST.txt Файлы.rar

[safety]

Quote

Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов.

Добавьте, пожалуйста, логи обнаружений и сканирования из антивируса Касперского.

+

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM\...\Run: [CHTO_S_EBALOM.exe] => C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt [688 2024-02-14] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {9C787FDB-A4CC-4639-A7D8-2F6279F28683} - System32\Tasks\explosion-activity => C:\ProgramData\england-extent\bin.exe  /H (Нет файла)
2024-02-14 02:24 - 2024-02-14 02:24 - 000000688 _____ C:\Users\БЕРКУТ\Desktop\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-14 02:20 - 2024-02-14 02:24 - 000000688 _____ C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-14 02:19 - 2024-02-14 02:24 - 000000688 _____ C:\CHTO_S_EBALOM_DECRYPTION.txt
2024-02-28 18:06 - 2022-11-19 17:58 - 000000000 __SHD C:\Users\БЕРКУТ\AppData\Local\C89AF916-D188-C743-093A-474FC89D97AA
2024-02-14 02:20 - 2024-02-14 02:24 - 000000688 _____ () C:\Users\БЕРКУТ\AppData\Local\CHTO_S_EBALOM_DECRYPTION.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

+

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 28 февраля, 2024 пользователем safety

[Berkut1]

Здравствуйте. Прошу рассмотреть мое обращение. 

 

BAZA_2024-03-07_16-18-58_v4.15.1.7z

 

Что это значит?

 

Изменено 7 марта, 2024 пользователем Sandor
Убрал карантин

[safety]

25 minutes ago, Berkut1 said:

Что это значит?

ссылку на карантин не нужно давать в общий доступ, передавать только через личные сообщения консультанту, который работает в вашей теме. Образ сейчас проверю.

+

нужен Fixlog после выполнения скрипта FRST для контроля очистки системы

Quote

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

Изменено 7 марта, 2024 пользователем safety

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему без перезагрузки и завершит работу программы.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ANYDESK.LNK
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delall %SystemDrive%\USERS\БЕРКУТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PUNTO SWITCHER.LNK
apply

QUIT

+

 по расшифровке файлов:

 

К сожалению, по данному типу шифровальщика расшифровка невозможна без приватного ключа.

Изменено 7 марта, 2024 пользователем safety

[Berkut1]

Fixlog.txt

[safety]

12 minutes ago, Berkut1 said:

Fixlog.txt 3 kB · 0 downloads

Скрипт выполнился успешно, судя по образу файлов шифровальщика (кроме записок о выкупе и зашифрованных файлов нет. Важные зашифрованные файлы можно сохранить  на отдельный носитель, возможно в будущем расшифровка станет возможной.

[Berkut1]

Систему переустановить?

[safety]

40 minutes ago, Berkut1 said:

Систему переустановить?

Возможно, что лучше переустановить, так как часть исполняемых файлов зашифрована. Документы слить на отдельный носитель.

[Berkut1]

ДОКУМЕНТЫ СОХРАНИЛ ДО ВИРУСА. Главное базы 1С зашифрованы!

[safety]

22 minutes ago, Berkut1 said:

Главное базы 1С зашифрованы!

проверьте ЛС

[Berkut1]

Что это?

[Berkut1]

Спасибо вам большое! Есть возможность как произошло заражение?

[Sandor]

@xamd, не пишите в чужой теме.

Создайте свою и выполните Порядок оформления запроса о помощи