mimic/n3wwv43 ransomware зашифрованы базы 1С и документы. Требуют денег.

[Андрей1566]

Ночью были перекодированы все бекапы файлов и баз 1С Так же все рабочие базы. Сами системы не пострадали Пожалуйста раскодируйте по возможности. Есть подозрение, что вирус принес гость, подключившийся к офисной сети

Addition.txt FRST.txt README.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [BACHOKTECHET] => C:\Users\Администратор\AppData\Local\1A1A6AFF-5374-D510-83BB-0FB1235521E7\BACHOKTECHET.exe [2395136 2022-02-05] () [Файл не подписан]
HKLM\...\Run: [BACHOKTECHET.exe] => C:\Users\Администратор\AppData\Local\README.txt [1123 2025-01-13] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2025-01-13 03:40 - 2025-01-13 10:34 - 000001123 _____ C:\Users\Администратор\Desktop\README.txt
2025-01-13 01:34 - 2025-01-13 10:34 - 000001123 _____ C:\README.txt
2025-01-13 01:34 - 2025-01-13 10:16 - 000001123 _____ C:\Users\Администратор\AppData\Local\README.txt
2025-01-13 01:34 - 2025-01-13 10:05 - 000000000 ____D C:\temp
2025-01-13 01:34 - 2025-01-13 02:06 - 002258100 _____ C:\Users\Администратор\Desktop\com.exe.abdula.a@aol.com
2025-01-13 10:56 - 2023-01-21 14:28 - 000000000 __SHD C:\Users\Администратор\AppData\Local\1A1A6AFF-5374-D510-83BB-0FB1235521E7
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Андрей1566]

Выполнено.

Ссылка на карантин: http://mail.pmconstruct.ru:5000/sharing/VwvEDwRei

Fixlog.txt

[safety]

1 час назад, Андрей1566 сказал:

Есть подозрение, что вирус принес гость, подключившийся к офисной сети

Имеете ввиду зашли под учетной записью "Гость"?

зашифровано одно устройство или несколько?

Изменено 14 января пользователем safety

[Андрей1566]

Зашел знакомый директора и попросил пароль входа в вайфай, показал какую-то презентацию, и скопировал ее под паролем директора на обменник. К утру сдлед дня были закодированы , сначала хранилища бекапов (судя по времени создания файлов), даже в корзинах, и несколько рабочих серверов, в том числе и SQL... Рабочие станции тоже пострадали 2-3 шт. НО это уже не принципиально.

[safety]

2 часа назад, Petr_rashiv сказал:

Добрый день!

! Не пишем в чужой теме, одна тема - один пользователь. Создайте новую тему в данном разделе

 

 

2 часа назад, Андрей1566 сказал:

Зашел знакомый директора и попросил пароль входа в вайфай

Возможно, совпадение, но "дружеский огонь" тоже нельзя исключить. С Mimic работают как правило группы из-за пределов нашей страны, и по удаленке, но мог быть слит пароль, для таких вещей надо предоставлять гостевой пароль, без доступа к основным ресурсам.

Изменено 14 января пользователем safety

[safety]

Вот этот файл интересно, что это могло быть? К сожалению он зашифрован.

C:\Users\Администратор\Desktop\com.exe

[Андрей1566]

26 минут назад, safety сказал:

Вот этот файл интересно, что это могло быть? К сожалению он зашифрован.

C:\Users\Администратор\Desktop\com.exe

Я его не вижу уже, но это точно не наш файл... А какие дальнейшие действия?

[safety]

Если есть такая возможность, необходимо восстановить зашифрованные файлы из архивных копий,

а так же принять меры безопасности на будущее для защиты от проникновения злоумышленников в ЛС.

[Андрей1566]

Т. е. расшифровать это вы не можете?

[safety]

Проверьте ЛС