mimic/n3wwv43 ransomware Взлом RDP сервера с 1С вирусом-шифровальщиком datastore@cyberfair

[MikoTMN]

Здравствуйте. Сегодня мой сервер, где лежит 1С заразился вирусом шифровальщиком, в итоге все файлы зашифровалить в тхт, ну и как полагается требуют выкуп за файлы. Прикрепил скрины с типом файлов и текстом вымогателя. Просьба, кто сталкивался с подобным (а на форуме их много) помочь с решением проблемы 

 

Изменено 3 марта пользователем MikoTMN

[safety]

Добавьте несколько зашифрованных файлов и записку о выкупе в архиве без пароля + логи FRST

согласно правил:

«Порядок оформления запроса о помощи».

Изменено 4 марта пользователем safety

[MikoTMN]

Addition.txt FRST.txt Downloads.rar

[safety]

В этой папке покажите что есть

2025-03-04 05:30 C:\Users\Администратор\AppData\Local\{9B24D914-D8F5-5C43-5F18-C6758674D7BB}

 

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\Администратор.QHF\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\BACHOKTECHET.exe <2>
(C:\Users\Администратор.QHF\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\BACHOKTECHET.exe ->) (voidtools -> voidtools) C:\Users\Администратор.QHF\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\Everything.exe
HKLM\...\Run: [BACHOKTECHET] => C:\Users\Администратор.QHF\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\BACHOKTECHET.exe [5918736 2023-12-03] () [Файл не подписан]
HKLM\...\.com: mimicfile => notepad.exe "C:\Users\Администратор.QHF\AppData\Local\README_SOLVETHIS.txt" <==== ВНИМАНИЕ
HKU\S-1-5-21-3952067345-1067749304-3248682368-500\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-03-03 19:07 - 2025-03-04 05:30 - 000000000 ____D C:\Users\Администратор.QHF\AppData\Roaming\Process Hacker 2
2025-03-03 19:07 - 2025-03-03 19:07 - 000001224 _____ C:\README_SOLVETHIS.txt
2025-03-03 19:07 - 2022-08-25 06:32 - 000000000 __SHD C:\Users\Администратор.QHF\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 4 марта пользователем safety

[MikoTMN]

Нужно полностью скопировать весь скрипт? 

 

[safety]

да, полностью скрипт необходимо скопировать в буфер обмена. из буфера обмена его FRST загрузит при выполнении функции "Исправить".

[MikoTMN]

Скрипт скопировал - запустил FRST от имени админа - нажал на исправить - потребовалась перезагрузка. На рабочем столе создался файл Fixlog.txt

[safety]

Да, все верно. Добавьте Fixlog.txt и ссылку на архив с карантином.

-------------

Судя по последнему рисунку, не первый раз уже шифруется  сервер злоумышленниками, стоящими за Mimic.

Изменено 4 марта пользователем safety

[MikoTMN]

Винрар ругается на файл - когда хочу сделать архив с паролем 

 

Да, за последние 1,5 года это второй случай. Первый был в сентябре 2023 года 

 

[safety]

Может быть, антивирус реагирует на файлы из папки карантина? Попробуйте в 7zip заархивировать эту папку

[MikoTMN]

Зип также не хочет, антивирус я принудительно отключил. Может попробовать заново просканировать ? 

 

Просто после перезагрузки системы автоматом включился антивирус и начал удалять какие то файлы 

 

 

Не хочет делать архив, ругается на файлы. 
Пробовать еще раз запустить скрипт? 

 

[safety]

Тогда просто удалите эту папку с карантином,

некоторые файлы могли быть из комплекта шифровальщика, и антивир мог реагировать на них, даже если у них изменилось расширение на BAD.

 

Добавьте Fixlog.txt

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

теперь, когда ваши файлы были зашифрованыs, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

------------

судя по предыдущему рисунку с каталогом, сервер уже ранее был атакован этим типом шифровальщика, только было другое расширение. Если не принимать никаких мер, все повторится через некоторое время.

Обратите внимание, что Mimic наиболее активен в течение 2023, 2024 года, и таким остается в новом, 2025 году.

Изменено 4 марта пользователем safety

[MikoTMN]

Нужно полностью скопировать весь скрипт? 

 

Fixlog.txt

Файл фикслог прикрепил, но шифровка файлов все равно осталось прежняя, можно ли ее как то исправить или придется выкупать данные?

 

[safety]

Просто удалите эту папку C:\FRST\Quarantine, файлы в ней безопасны для системы. Судя по Fixlog, система была очищена скриптом успешно.

[MikoTMN]

Папку удалил