mimic/n3wwv43 ransomware Шифровальщик cyberfear

[WhySpice]

Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ

Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt

README.txt

Изменено 6 января, 2025 пользователем WhySpice

[WhySpice]

Уточнение:
RDP порт был нестандартным, также ip block после двух неудачных попыток входа (обезопасился от брутфорса)

[safety]

Это ваши файлы:?

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

которые в автозапуске

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ

 

[WhySpice]

Только что, safety сказал:

Это ваши файлы:?

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

которые в автозапуске

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ

 

Нет, не мои. Сейчас еще KVRT досканирует, отчет пришлю

Изменено 6 января, 2025 пользователем WhySpice

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
() [Файл не подписан] C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe <2>
(C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe ->) (voidtools -> voidtools) C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\Everything.exe
HKLM\...\Run: [datastorecyberfearcom] => C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe [2394112 2023-07-24] () [Файл не подписан]
HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ
HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\1cv8.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SecHealthUI.exe: [Debugger] svchost.exe
IFEO\SecurityHealthService.exe: [Debugger] svchost.exe
IFEO\SecurityHealthSystray.exe: [Debugger] svchost.exe
IFEO\shutdown.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\upfc.exe: [Debugger] svchost.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\windows\System32\Systray.exe
2025-01-06 14:53 - 2025-01-06 14:53 - 000000352 _____ C:\Users\WHYSPICE-SERVER\AppData\Local\README.txt
2025-01-06 14:50 - 2025-01-06 14:50 - 000000352 _____ C:\README.txt
2025-01-06 12:41 - 2025-01-06 12:41 - 000000352 _____ C:\Users\yana\AppData\Local\README.txt
2025-01-06 14:58 - 2024-08-21 00:11 - 000000000 ____D C:\Temp
2025-01-06 14:56 - 2024-05-12 07:41 - 000000000 __SHD C:\Users\yana\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23
2025-01-06 14:53 - 2023-06-10 18:47 - 000000000 __SHD C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23                                                                            
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

+

 

Эти файлы добавьте в отдельный архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание здесь.

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

 

Изменено 6 января, 2025 пользователем safety

[WhySpice]

После перезагрузки снесло загрузчик... Сейчас через LiveCD загружусь, скину логи.

[safety]

Возможно у вас здесь нестандартная загрузка, потому я спросил про эти файлы:

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ
HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ

Изменено 6 января, 2025 пользователем safety

[WhySpice]

Quarantine: ссылка удалена

Fixlog.txt

11 минут назад, safety сказал:

Возможно у вас здесь нестандартная загрузка, потому я спросил про эти файлы:

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ
HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ

Нет, все по стандарту. В c:\windows 3 файла появилось, которых я не видел wudf.exe, wtime.cmd и Windows Driver Foundation.exe (все 3 скрытые). Их раньше не было.

Изменено 6 января, 2025 пользователем safety

[safety]

Скрипт выполнился успешно.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен
HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен

 

Карантин сейчас проверю.

Папку с карантином без пароля заархивировали? Надо с паролем virus, иначе облачный сервер не отдаст файл.

 

 

5 минут назад, safety сказал:

HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен

Если проблема с загрузкой останется, восстановите в реестре здесь прежнее значение ключа.

"C:\Windows\SysWOW64\explorer.exe"

Изменено 6 января, 2025 пользователем safety

[WhySpice]

ссылка удалена

исправил

Изменено 6 января, 2025 пользователем safety

[safety]

Пробуйте на Яндекс-диск загрузить. Mail не отдает архив.

[WhySpice]

11 минут назад, safety сказал:

Пробуйте на Яндекс-диск загрузить. Mail не отдает архив.

файл загружен, ссылка удалена

Изменено 6 января, 2025 пользователем safety

[safety]

Карантин скачал (Яндекс более "демократичен", предупредил что в архиве вируса, но скачать разрешил) но вы так и не установили пароль на папку карантина.

24 минуты назад, WhySpice сказал:

Нет, все по стандарту. В c:\windows 3 файла появилось, которых я не видел wudf.exe, wtime.cmd и Windows Driver Foundation.exe (все 3 скрытые). Их раньше не было.

тогда эти три файла добавьте в архив с паролем virus, архив так же загрузите на Яндекс диск и дайте здесь ссылку на скачивание.

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

Изменено 6 января, 2025 пользователем safety

[WhySpice]

4 минуты назад, safety сказал:

Карантин скачал (Яндекс более "демократичен", предупредил что в архиве вируса, но скачать разрешил) но вы так и не установили пароль на папку карантина.

тогда эти три файла добавьте в архив с паролем virus, архив так же загрузите на Яндекс диск и дайте здесь ссылку на скачивание.

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

https://disk.yandex.ru/d/p_Dp8StiWs3mpg

[safety]

31 минуту назад, WhySpice сказал:

2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe

такой ответ:

Данный процесс является служебным и, скорее всего, какое-то сторонее приложение обращается к нему и загружает ваш процессор.

Другие два файла подозрительны, возможно они как раз этот файл и запускают для своей цели.

 

Сделайте новые логи FRST посмотрим что там сейчас после очистки

Изменено 6 января, 2025 пользователем safety