mimic/n3wwv43 ransomware Расшифровка файлов

[Woodgoblin]

CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txtДень добрый.

Сегодня все файлы на компе оказались зашифрованными.

К файлом добавилась запись

NESCELKAIEBALOM

при попытке открытия выходит

 

Можете помочь?

 

Изменено 26 марта, 2024 пользователем Woodgoblin
Добавление файла сообщения

[Woodgoblin]

15 минут назад, Woodgoblin сказал:

CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txtДень добрый.

Сегодня все файлы на компе оказались зашифрованными.

К файлом добавилась запись

NESCELKAIEBALOM

при попытке открытия выходит

 

Можете помочь?

 

 

data.txt.NESCHELKAIEBALOM.txt

Только что, Woodgoblin сказал:

 

data.txt.NESCHELKAIEBALOM.txt 173 B · 0 загрузок

 

CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt

[safety]

при создании логов FRST следуйте этой инструкции, утилита сама соберет в лог все что надо для анализа.

[Woodgoblin]

Addition.txt FRST.txt

 

До этого неполные данные были, извините

Addition.txt FRST.txt

 

9 часов назад, safety сказал:

при создании логов FRST следуйте этой инструкции, утилита сама соберет в лог все что надо для анализа.

Приложил. Посмотрите, пожалуйста

[safety]

(C:\Users\Woodgoblin\Downloads\xoristdecryptor.exe ->) (Kaspersky Lab -> Kaspersky Lab AO) C:\Users\Woodgoblin\AppData\Local\Temp\{06256F54-FEF7-460C-938B-8F1BE58B8F8F}\{F1789138-C494-4838-953B-AE2E4153B52C}.exe
Xoristdecryptor не поможет, это другой тип шифровальщика: Mimic/N3Wwwv43

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 

Start::
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] ￐ﾟ￑ﾀ￐ﾸ￐ﾲ￐ﾵ￑ﾂ￑ﾁ￑ﾂ￐ﾲ￑ﾃ￑ﾎ
IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-03-26 07:58 - 2021-12-05 05:29 - 000000000 __SHD C:\Users\Woodgoblin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

 

+

 

сделайте образ автозапуска системы в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Woodgoblin]

Пароль поставить не получилось, архиватор заблокирован

Fixlog.txt DESKTOP-NV7O2J6_2024-03-26_12-04-55_v4.15.1.7z

Изменено 26 марта, 2024 пользователем safety

[safety]

Хорошо, образ  автозапуска проверю чуть позже.

Файл Quarantine пробуйте добавить в архив rar или 7z, так как он содержит вредоносные тела, хотя и с модифицированным расширением. + этот файл (с паролем virus) затем загрузите на облачный диск и дайте ссылку в ЛС (личные сообщения). Отсюда файл будет удален.

Изменено 26 марта, 2024 пользователем safety

[safety]

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BRAVESOFTWARE\UPDATE\BRAVEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\EASYTUNEENGINESERVICE\GRAPHICSCARDENGINESTARTER.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\OFFICEBACKGROUNDTASKHANDLER.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOIA.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\SIV\THERMALD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STARTISBACK\STARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\VTUNER\VTUNER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR.EXE
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\BRAVE.EXE
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWARE-TRAY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\LIGHTSHOT\LIGHTSHOT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\ANYDESK\ANYDESK.EXE
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\CCG.EXE
delref %SystemDrive%\APP\NODE.JS\NODE.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER ADVANCED THREAT PROTECTION\SENSEIR.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER ADVANCED THREAT PROTECTION\MSSENSE.EXE
delref %SystemRoot%\KMSAUTOS
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\123.1.64.109\INSTALLER\CHRMSTP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\123.1.64.109\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\EASYTUNEENGINESERVICE\EASYTUNEENGINESERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\APPCENTER\ADJUSTSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\GSERVICE\GCLOUD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\SIV\HWMRECORDSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\EASYTUNEENGINESERVICE\OCBUTTONSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWARE-HOSTD.EXE
delref D:\AUTORUN.EXE
delref D:\SETUP.EXE
delref %SystemDrive%\USERS\WOODGOBLIN\APPDATA\LOCAL\DISCORD\UPDATE.EXE
delref %SystemDrive%\USERS\WOODGOBLIN\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON38-32\PYTHONW.EXE
delref %SystemDrive%\USERS\WOODGOBLIN\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON38-32\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\WOODGOBLIN\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON38-32\PYTHON.EXE
delref %SystemDrive%\USERS\WOODGOBLIN\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON38-32\DOC\PYTHON380.CHM
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\TOTALCMD64.EXE
delref %SystemDrive%\PROGRAM FILES\WONDERSHARE\RECOVERIT\RECOVERITASSIST.EXE
delref %SystemDrive%\PROGRAM FILES\XNVIEWMP\XNVIEWMP.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\EXCEL.EXE
delref %SystemDrive%\PROGRAM FILES\PLSQL DEVELOPER 12\PLSQLDEV.EXE
delref %SystemDrive%\PROGRAM FILES\PLSQL DEVELOPER 13\PLSQLDEV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\ACRORD32.EXE
delref %SystemDrive%\PROGRAM FILES\CPUID\CPU-Z GIGABYTE\CPUZ.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PETER-SERVICE\CRM_CMS\CMS_ADMIN\CRM_ADMIN.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\GOOGLE EARTH PRO\CLIENT\GOOGLEEARTH.EXE
delref %SystemDrive%\PROGRAM FILES\JETBRAINS\PYCHARM 2019.2\BIN\PYCHARM64.EXE
delref %SystemDrive%\PROGRAM FILES\OBS-STUDIO\BIN\64BIT\OBS64.EXE
delref %SystemDrive%\OLDNEWEXPLORER\OLDNEWEXPLORERCFG.EXE
delref %SystemDrive%\PROGRAM FILES\PLSQL DEVELOPER 15\PLSQLDEV.EXE
delref %SystemDrive%\PROGRAM FILES\SPECCY\SPECCY64.EXE
delref %SystemDrive%\PROGRAM FILES\QUEST SOFTWARE\TOAD FOR ORACLE 2018 R2 EDITION\SPOTLIGHT FOR ORACLE 10.7\CONSOLE\SPOTLIGHT.EXE
delref %SystemDrive%\PROGRAM FILES\QUEST SOFTWARE\TOAD FOR ORACLE 2018 R2 EDITION\TOAD DATA MODELER 6.5\BIN\TDM.EXE
delref %SystemDrive%\PROGRAM FILES\QUEST SOFTWARE\TOAD FOR ORACLE 2018 R2 EDITION\TOAD FOR ORACLE 13.1\TOAD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWARE.EXE
delref %SystemDrive%\PROGRAM FILES\JETBRAINS\WEBSTORM 2020.1\BIN\WEBSTORM64.EXE
;-------------------------------------------------------------
QUIT

 

 

 

По расшифровке данного типа шифровальщика, к сожалению, не сможем помочь без приватного ключа.

Изменено 26 марта, 2024 пользователем safety

[Woodgoblin]

Выдает сообщение что, Текст скрипта содержит ошибки, либо не содержит команд uvs

 

[safety]

Не должно быть ошибки. Вы скрипт копируете в буфер обмена непосредственно на зашифрованном ПК или переносите на другую машину? Пробуйте внимательно еще раз скопировать все строки в буфер обмена.

[Woodgoblin]

4 часа назад, safety сказал:

Не должно быть ошибки. Вы скрипт копируете в буфер обмена непосредственно на зашифрованном ПК или переносите на другую машину? Пробуйте внимательно еще раз скопировать все строки в буфер обмена.

Выдает ошибку

srcipt.txt

 

Копирую непосредственно с пострадавшего компа

[safety]

согласен, есть ошибочная строка в файлике.

ЙГШЕdelref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\EASYTUNEENGINESERVICE\OCBUTTONSERVICE.EXE

исправил в скрипте, убрал лишнее

ЙГШЕ

 

Невнимательно добавлял команду QUIT (вместо restart) (на русском раскладе ЙГШЕ) да еще и не в конец скрипта. И хвост остался.

Все остальные команды здесь созданы автоматически.

Изменено 27 марта, 2024 пользователем safety

[Woodgoblin]

Спасибо