mimic/n3wwv43 ransomware зашифровало сервер 1с и несколько машин в сети

28 апреля

Здравствуйте!

Зашифровало сервер 1с и распространилось дальше по сети

Сервер 1с был просканирован загрузочной флешкой Kaspersky Rescue Tool 24 (скрин и отчет прикрепил)

Помогите восстановить файлы. Бэкапы тоже зашифровало. Спасибо

Addition.txt FRST.txt Files.zip Reports_KRT24.zip

28 апреля

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [HORSES.exe] => C:\Users\администратор.BERLEK\AppData\Local\tony_DECRYPTION_README.txt [225 2025-04-26] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hi!
2025-04-26 22:58 - 2025-04-29 02:16 - 000000000 ____D C:\temp
2025-04-29 01:43 - 2023-07-24 15:37 - 000000000 __SHD C:\Users\администратор.BERLEK\AppData\Local\1EE403F0-2ADF-7A0E-1F53-6A981697AE87
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

29 апреля

https://transfiles.ru/ce1ea

Пароль к архиву virus

Fixlog.txt

29 апреля

С расшифровкой файлов по данному типу шифровальщика, к сожалению, не сможем помочь.

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

+

проверьте ЛС.

Изменено 29 апреля пользователем safety

mimic/n3wwv43 ransomware зашифровало сервер 1с и несколько машин в сети

Рекомендуемые сообщения

B_KACKE

safety

B_KACKE

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum