mimic/n3wwv43 ransomware Вирус зашифровал и добавил в конце каждого файла7dyedhqu59c

[СергейБ.]

Здравствуйте.

Компьютер ночью был включен.

Утром обнаружилось предупреждение о заражение и шифровании файлов. 

В конце каждого файла добавилось 7dyedhqu59c

Можете ли чем-нибудь помочь?

Спасибо.

FRST.txt Addition.txt files.zip

[СергейБ.]

Записка о выкупе

Instruction.txt

 

Как вычистить ПК без переустановки системы?

[СергейБ.]

вроде нашел папку с вирусом

 

пароль: virus

 

там был еще файл Everything.db, но он 45 Мб, не прикреплял

virus.zip

[safety]

Судя по идентификатору из записки о выкупе - Mimic

Ваш идентификатор (ID)
*****o*7dyedhqu59c

2 hours ago, СергейБ. said:

вроде нашел папку с вирусом

https://www.virustotal.com/gui/file/6139aa57b4c8b8d6039d9293e9eb99a37a9183183d6461a256a77862ba30cdff

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] ￐ﾒ￐ﾰ￑ﾈ￐ﾸ ￐ﾴ￐ﾾ￐ﾺ￑ﾃ￐ﾼ￐ﾵ￐ﾽ￑ﾂ￑ﾋ, ￐ﾱ￐ﾰ￐ﾷ￑ﾋ ￐ﾴ￐ﾰ￐ﾽ￐ﾽ￑ﾋ￑ﾅ ￐ﾸ ￐ﾴ￑ﾀ￑ﾃ￐ﾳ￐ﾸ￐ﾵ ￑ﾄ￐ﾰ￐ﾹ￐ﾻ￑ﾋ ￐ﾱ￑ﾋ￐ﾻ￐ﾸ ￐ﾷ￐ﾰ￑ﾈ￐ﾸ￑ﾄ￑ﾀ￐ﾾ￐ﾲ￐ﾰ￐ﾽ￑ﾋ. ￐ﾝ￐ﾾ ￐ﾽ￐ﾵ ￑ﾁ￑ﾂ￐ﾾ￐ﾸ￑ﾂ
IFEO\agntsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
2024-05-24 08:08 - 2024-05-24 08:08 - 000002513 _____ C:\Users\Stu_SG\AppData\Local\Instruction.txt
2024-05-24 08:12 - 2021-02-24 04:05 - 000000000 __SHD C:\Users\Ser_OA\AppData\Local\{288D3514-4B27-0929-C18F-74352F8D2629}
2024-05-24 08:08 - 2022-03-06 11:37 - 000000000 ____D C:\Users\Stu_SG\AppData\Local\{288D3514-4B27-0929-C18F-74352F8D2629}
Ebd::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

[СергейБ.]

Здравствуйте.
Подскажите пожалуйста. Есть ли возможность дешифровки файлов?

На данном ПК переустановил систему с нуля поверх старой. Так можно делать или лучше диск стирать полностью?

Есть еще один ПК, но если я правильно понял, для него новый запрос надо сделать?

Спасибо!

[safety]

2 hours ago, СергейБ. said:

Подскажите пожалуйста. Есть ли возможность дешифровки файлов?

Расшифровки по данному типу шифровальщика нет в настоящее время без приватного ключа.

 

Лучшее, что вы можете сделать: восстановить файлы из бэкапов, если они были созданы и актуальны,

очистить системы или переустановить заново.

+

примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[СергейБ.]

Спасибо вам большое.

[СергейБ.]

Здравствуйте. На всякий случай спрошу. Файловую базу данных 1С есть вариант попробовать восстановить, сколько стоить будет?