mimic/n3wwv43 ransomware Шифровальщик "NESCHELKAIEBALOM"

[meps85]

Добрый день! поймал вирус-вымогатель NESCELKAIEBALOM

лог FRST прилагаю.

Сможете помочь с удалением? 

 

FRST_08_04_2024.txt

[Sandor]

Здравствуйте!

 

Лог собирали в режиме восстановления системы. Почему? В нормальном режиме система не загружается?

[meps85]

Не пробовал, если честно - сразу со среды восстановления снял лог. 

Сейчас попробую скинуть с нормального режима

 

 

Лог с нормального режима

Addition.txt FRST.txt

[Sandor]

К сожалению, расшифровки этого типа вымогателя нет.

 

Политику IPSec настраивали самостоятельно?

Цитата

IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)

 

Помощь в очистке следов вымогателя нужна или будет переустановка системы?
 

[meps85]

 IPSec не настраивал

Хотелось бы попробовать восстановить действующую систему, или хотя бы чистку файлов провести, чтобы восстановить с помощьюacronis  

 

 

[Sandor]

С помощью Acronis вы ведь восстанавливаете полный образ системы. При этом очистка текущего состояния не нужна.

Под "чисткой файлов" что вы подразумеваете? Расшифровку? Её нет, я ответил выше.

[meps85]

файлы acronis не запускаются почему-то...

пишет: "это не последний том архива"

там все файлы были с добавлением .NESCELKAIEBALOM

вручную переименовал - не помогло... Архив акрониса не открывается...

непонятно как файл акрониса "оживить", чтобы восстановление системы сделать....

 

 

[Sandor]

А, теперь понятно. Ваши бекапы оказались тоже зашифрованными. Простое переименование, конечно, не поможет.

Впредь вам наука, бекапы должны храниться в защищенном месте.

 

Пароли администраторов смените, скорее всего были взломаны.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {0df94d8d-4816-11e4-afc6-806e6f6e6963} - D:\Bin\ASSETUP.exe
  HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {a21a5292-e7df-11ec-b6cb-e03f49844a65} - F:\Autorun.exe
  HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {a21a52a1-e7df-11ec-b6cb-e03f49844a65} - F:\Autorun.exe
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2022-06-10]
  ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (Нет файла)
  IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)
  2024-04-07 22:35 - 2024-04-07 22:35 - 000002085 _____ C:\Users\ПЧ\Desktop\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
  2024-04-07 22:16 - 2024-04-07 22:35 - 000002085 _____ C:\Users\ПЧ\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
  2024-04-07 22:16 - 2024-04-07 22:35 - 000002085 _____ C:\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
  2024-04-08 01:02 - 2021-12-05 05:29 - 000000000 __SHD C:\Users\ПЧ\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
  FirewallRules: [{AB839019-4356-406A-A4B0-9911D7D833C9}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
  FirewallRules: [{AE45D87E-EF01-41C3-BBBD-85CB53A80E91}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
  FirewallRules: [{62D452AF-7A82-4492-9966-DE4AA379D967}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
  FirewallRules: [{40480F95-0A6A-458D-85B3-72625D4D251C}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[meps85]

 

 

 

Fixlog.txt

[Sandor]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

Дополнительно:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[meps85]

Файлы акрониса не открывает....

пишет: "это не последний том архива"

Fixlog.txt

 

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
 

Так ли страшен контроль учетных записей (UAC)?

 

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
 

Если решите продолжать работать на семерке, обязательно установите все перечисленные хотфиксы (особенно HotFix KB4012212), иначе очередной взлом не заставит себя ждать.

 

AnyDesk v.ad 7.0.14 Внимание! Скачать обновления
TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления
VMware Workstation v.10.0.5 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.5 v.4.5.50709 Внимание! Скачать обновления
WinRAR 5.21 (32-разрядная) v.5.21.0 Внимание! Скачать обновления
Radmin Server 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

[meps85]

Доброго дня! 

придется похоже переустанавливать систему - не получается архив акрониса запустить 

пишет "это не последний том архива"....

вариантов для "оживления" архива акрониса больше нет?

или можно еще что-то сделать?