mimic/n3wwv43 ransomware Шифровальщик cyberfear

[WhySpice]

4 минуты назад, safety сказал:

такой ответ:

Данный процесс является служебным и, скорее всего, какое-то сторонее приложение обращается к нему и загружает ваш процессор.

Сделайте новые логи FRST посмотрим сто там сейчас после очистки

Запустил сканирование. А с зашифрованными файлами получается, что все... их уже не спасти?

[safety]

Только что, WhySpice сказал:

А с зашифрованными файлами получается, что все... их уже не спасти?

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

[WhySpice]

7 минут назад, safety сказал:

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

 

Addition.txt FRST.txt

[Mark D. Pearlstone]

6 минут назад, WhySpice сказал:

написал

Строгое предупреждение от модератора Mark D. Pearlstone

Это мошенники. Не общайтесь с ними. Читайте правила, кто может писать и помогать в данном разделе.

[WhySpice]

2 минуты назад, Mark D. Pearlstone сказал:

Строгое предупреждение от модератора Mark D. Pearlstone

Это мошенники. Не общайтесь с ними.

ну, мне интересно, сколько они предложат за "расшифровку"
 

[safety]

1 минуту назад, WhySpice сказал:

ну, мне интересно, сколько они предложат за "расшифровку"

Еще раз предупреждаем - без приватных ключей расшифровка в Mimic невозможна.

обратите внимание, что здесь кругами ходят посредники или мошенники, а может и злоумышленники, которые предлагают помочь с расшифровкой. В лучшем случае они это сделают за выкуп дешифратора, в худшем ( и таких примеров уже достаточно для mimic) либо вообще исчезнут из общения после получения оплаты, либо пришлют нерабочий дешифратор.

+

детали подобных разговоров здесь не надо публиковать.

[safety]

По новым логам FRST:

Уже лучше:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [datastorecyberfearcom.exe] => notepad.exe "C:\Users\WHYSPICE-SERVER\AppData\Local\README.txt" (Нет файла)
HKLM\...\Policies\system: [legalnoticetext]                                                           Happynewyear!
IFEO\1cv8.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\windows\System32\Systray.exe
2025-01-06 16:10 - 2025-01-06 16:10 - 000000352 _____ C:\README.txt
2025-01-06 16:10 - 2025-01-06 16:10 - 000000000 ____D C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23
2025-01-06 16:09 - 2025-01-06 16:09 - 000000069 _____ C:\Users\WHYSPICE-SERVER\Desktop\123.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 6 января пользователем safety

[safety]

1 час назад, WhySpice сказал:

Сейчас еще KVRT досканирует, отчет пришлю

Добавьте так же отчеты KVRT

[WhySpice]

2 минуты назад, safety сказал:

Добавьте так же отчеты KVRT

https://disk.yandex.ru/d/5C1XJJFRnKOCxg

Fixlog.txt

[safety]

Вообще, судя по записке о выкупе и session.tmp у вас довольно странный ключ шифрования. Экспериментируете с сэмплом?

Изменено 6 января пользователем safety

[WhySpice]

Только что, safety сказал:

Вообще, судя по записке о выкупе и session.tmp у вас довольно странный ключ шифрования. Экспериментируете с сэмплом?

Нет, вообще ничего не делал

[safety]

Добавьте тогда еще раз новые логи FRST после последней очистки.

+

этот файл должен быть в папке карантина:

C:\Users\WHYSPICE-SERVER\Desktop\123.txt

Может вы тогда и расшифровать сможете то что было зашифровано таким ключом.

Это сессионный ключ:

Изменено 6 января пользователем safety

[WhySpice]

10 минут назад, safety сказал:

Добавьте тогда еще раз новые логи FRST после последней очистки.

Может вы тогда и расшифровать сможете то что было зашифровано таким ключом.

Это сессионный ключ:

↓

 

Addition.txt FRST.txt

[safety]

+

2025-01-06 15:16 - 2025-01-06 15:16 - 000000000 ____D C:\KVRT2020_Data

в этой папке есть каталог с отчетами, добавьте пожалуйста файлв из каталога отчетов

+

этот файл должен быть в папке карантина:

C:\Users\WHYSPICE-SERVER\Desktop\123.txt

Изменено 6 января пользователем safety

[WhySpice]

6 минут назад, safety сказал:

+

2025-01-06 15:16 - 2025-01-06 15:16 - 000000000 ____D C:\KVRT2020_Data

в этой папке есть каталог с отчетами, добавьте пожалуйста файлв из каталога отчетов

+

этот файл должен быть в папке карантина:

C:\Users\WHYSPICE-SERVER\Desktop\123.txt

https://disk.yandex.ru/d/FcLxLY8_Er1aQA -  KVRT

123.txt - я создавал с ссылкой на данный топик