mimic/n3wwv43 ransomware Вирус шифровальщик, нет доступа к базе 1с

[Сергей194]

Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!

Desktop.rar

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Сергей194]

Я не пойму ,что неправильно?

 

[safety]

Вы можете посмотреть любую тему в данном разделе, и понять, что необходимо добавить из файлов и логов для принятия вашего обращения.

[Сергей194]

30.12.24 последний раз пользовались базой 1с. Сегодня все заблокировано. Месяца 3 назад удалил левого пользователя, не придал значения, теперь понимаю, что зря. Последний бэкап июнь 2024 тоже зашифрован. Виндовс сервер 2008. доступ через rdp. Если возможно, помогите, понятно что не бесплатно.

FRST.rar зашиврованные файлы.rar требование выкупа.rar

Сегодня тоже был левый пользователь. Сразу удалил его из под консоли. В папке юзеров его папка осталась, пока не стал удалять.

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicyUsers\S-1-5-21-2798539248-1155371001-2806310096-1014\User: Ограничение <==== ВНИМАНИЕ
GroupPolicyUsers\S-1-5-21-2798539248-1155371001-2806310096-1013\User: Ограничение <==== ВНИМАНИЕ
GroupPolicyUsers\S-1-5-21-2798539248-1155371001-2806310096-1006\User: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-01-04 01:29 - 2025-01-04 01:29 - 000000967 _____ C:\Users\memhash1984\Desktop\Decrypt_ELPACO-team_info.txt
2025-01-04 01:25 - 2025-01-04 01:29 - 000000967 _____ C:\Users\memhash1984\AppData\Local\Decrypt_ELPACO-team_info.txt
2025-01-04 01:25 - 2025-01-04 01:29 - 000000967 _____ C:\Decrypt_ELPACO-team_info.txt
2025-01-04 01:09 - 2024-09-10 12:29 - 000000435 _____ C:\Windows\system32\u1.bat
2025-01-04 06:33 - 2023-10-18 15:10 - 000000000 __SHD C:\Users\memhash1984\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8
2025-01-04 01:25 - 2019-09-15 02:25 - 000000000 ____D C:\temp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Сергей194]

Я скопировал текст из браузера и скинул на флешку, флешку подсоединил к серверу и скопировал текст в буфер обмена. Запустил FRST и нажал кнопку исправить. Надеюсь все правильно сделал.

ссылка на Quarantine.rar-https://disk.yandex.ru/d/IuBxZfHf7K0F1A

Fixlog.txt

 

Скажите, что дальше? Файлы зашифрованы.

Изменено 4 января, 2025 пользователем Сергей194

[safety]

2 часа назад, Сергей194 сказал:

Сегодня тоже был левый пользователь. Сразу удалил его из под консоли. В папке юзеров его папка осталась, пока не стал удалять.

да, новый пользователь был  создан, из под него и запуск был шифровальщика.

set  user=memhash1984
set  pass=Memhash_1984
set AdmGroupSID=S-1-5-32-544

2025-01-04 06:33 - 2023-10-18 15:10 - 000000000 __SHD C:\Users\memhash1984\AppData\Local\9AA43236-BF97-C46D-1C63-D1F9DC1CBDD8

 

Система очищена от тел шифровальщика,

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

 

[Сергей194]

Спасибо.

[safety]

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);