mimic/n3wwv43 ransomware Зашифровали файлы (ELENOR), нужна помощь, логи FRST собрал.

[Ilya45]

Доброго времени суток.

Зашифровали сегодня файлы на компе, ночью, предположительно подключились через рдп, вырубили каспера иначе думаю не отключить. винда 7.

log.zip - логи под пользователем где все зашифровано,

log2.zip - логи под созданным пользователем(добавил нового сам). со всеми галками в программе.

files.zip - файл исходный и зашифрованный, плюс тхт с сообщением.

log.zip files.zip log2.zip

Изменено 13 марта, 2025 пользователем Ilya45

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ELPTS\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\АДМ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-03-12 22:46 - 2025-03-13 09:04 - 000000000 ____D C:\temp
2025-03-12 22:43 - 2025-03-12 22:43 - 000000000 ____D C:\Users\ELPTS\AppData\Roaming\Process Hacker 2
2025-03-12 22:43 - 2025-03-12 22:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-03-12 22:43 - 2025-03-12 22:43 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-03-12 22:15 - 2025-03-12 22:16 - 000000000 ____D C:\Users\ELPTS\Desktop\netSCAN
2025-03-13 09:11 - 2023-10-03 04:02 - 000000000 __SHD C:\Users\ELPTS\AppData\Local\1D5A0B4F-8165-0A1A-15FD-D346D3F6CAF0
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Ilya45]

сделал

 

 

Fixlog.txt

Изменено 13 марта, 2025 пользователем safety
файл загружен, ссылка удалена

[safety]

Система очищена,

С расшифровкой не поможем по данному типу шифровальщика без приватного ключа.

[Ilya45]

3 минуты назад, safety сказал:

Система очищена,

С расшифровкой не поможем по данному типу шифровальщика без приватного ключа.

а как и где его можно найти? и как выглядит этот ключ?

[safety]

Злоумышленники встраивают приватный ключ в дешифратор, предоставляет его только за выкуп.

Условия выкупа здесь не обсуждаем.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 13 марта, 2025 пользователем safety

[Ilya45]

Спасибо