mimic/n3wwv43 ransomware Шифровальщик zimmer1488

[KOMK]

Доброго времени суток.
Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
А так же папка с файлами именованная как "automim1"?
Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
Остальное не знаю как добавить,вес больше 5мб получается.
 

sekr_2.7z

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[KOMK]

47 минут назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

Каюсь,первый раз с этим делом сталкиваюсь.Забыл логи вложить с FRST. Сейчас исправим.

 

sekr_2.7z

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {B65F5CC4-8735-492E-9767-A9E269B8C13C} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {BC00EE0D-99BE-422C-B3D6-3A94D3045BA3} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
Task: {D23D0E8A-4146-4ECE-910A-15CA591AF139} - \user -> Нет файла <==== ВНИМАНИЕ
Task: {BEFF1F82-DDB5-49E9-A5F0-EFF25ABCD86B} - System32\Tasks\Microsoft\Windows\End Of Support\Notify1 => %windir%\system32\sipnotify.exe  -LogonOrUnlock (Нет файла)
Task: {D910CA39-7CA2-4430-A870-FC38A6F5AB9B} - System32\Tasks\Microsoft\Windows\End Of Support\Notify2 => %windir%\system32\sipnotify.exe  -Daily (Нет файла)
2025-04-08 14:16 - 2025-04-08 14:16 - 000003336 _____ C:\Users\tomashevichkd\advanced_ip_scanner_MAC.bin
2025-04-08 14:16 - 2025-04-08 14:16 - 000000015 _____ C:\Users\tomashevichkd\advanced_ip_scanner_Comments.bin
2025-04-08 14:16 - 2025-04-08 14:16 - 000000015 _____ C:\Users\tomashevichkd\advanced_ip_scanner_Aliases.bin
2025-04-08 12:09 - 2025-04-08 12:38 - 000001134 _____ C:\Users\Public\Desktop\Advanced IP
2025-04-08 12:09 - 2025-04-08 12:09 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2025-04-08 12:09 - 2025-04-08 12:09 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2025-04-08 17:44 - 2024-11-15 00:32 - 000000000 __SHD C:\Users\tomashevichkd\AppData\Local\D4A4227A-D012-4CEA-21D3-0BAD0BF6CDED
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[KOMK]

Высылаю. фикслог во вложении,архив с Вашим паролем по ссылке.
удалено

Fixlog.txt

 

Строгое предупреждение от модератора Mark D. Pearlstone

Вас просили дать ссылку в ЛС.

[safety]

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[KOMK]

9 часов назад, safety сказал:

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Приватный ключ естественно где-то в недрах компа остаться не мог?

[safety]

Нет, его вообще не может быть на ПК на стадии шифрования, так как приватные ключи создаются на устройстве злоумышленников, а к вам они приходят с публичными ключами. Для шифрования их достаточно.