mimic/n3wwv43 ransomware Вирус-шифровальщик. Сервер 1с.

[Keldenis]

Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.

Зашифрованные файлы.zip Addition.txt FRST.txt

[safety]

Добавьте, пожалуйста, в одном архиве эти файлы:

Цитата

2025-04-30 19:45 - 2025-05-01 09:05 - 019875474 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_19.45.45_log.txt
2025-04-30 19:17 - 2025-04-30 19:36 - 000396512 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_19.17.18_log.txt
2025-04-30 18:35 - 2025-04-30 19:09 - 000817022 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_18.35.14_log.txt
2025-04-30 13:45 - 2025-04-30 13:46 - 000003618 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_13.45.11_log.txt
2025-04-30 13:45 - 2025-04-30 13:45 - 000002072 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_13.45.07_log.txt
2025-04-30 09:46 - 2025-04-30 09:47 - 000003078 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_09.46.25_log.txt
2025-04-30 09:38 - 2025-04-30 09:40 - 000002704 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_09.38.22_log.txt
2025-04-30 03:43 - 2025-04-30 04:27 - 000001430 _____ C:\How-to-decrypt.txt

+

вопрос: почему вы решили, что RakhniDecryptor подойдет для расшифровки файлов в вашем случае?

 

Прежде чем использовать любой дешифратор, надо вначале определить тип шифровальщика.

 

Цитата

Утилита вновь успешно подобрала пароль и расшифровала файлы

Сколько по времени у вас занял подбор пароля?

 

По этому вопросу лучше будет обратиться в техническую поддержку для выяснения ответа: возможна ли расшифровка файлов по данному типу шифровальщика или нет.

 

Здесь список типов шифровальщиков, по которым возможна расшифровка:

https://support.kaspersky.ru/common/disinfection/10556

Как видим по ссылке, Mimic Ransomware здесь нет.

Возможно, дешифратор принял ваш файл за это:

Trojan-Ransom.Win32.CryFile: <имя_файла>.<оригинальное_расширение>.encrypted

 

Но такое сейчас встречается нередко, когда разные типы шифровальщиков могут иметь одинаковые шаблоны зашифрованных файлов, поэтому следует исходить из определения типа шифровальщика, а затем уже подбора дешифратора.

 

Так же ,

если нет уверенности в том что дешифратор сможет корректно расшифровать файлы, надо выделить область/каталог с несколькими файлами, в дешифраторе указать данную ограниченную область для проверки расшифровки.

Расшифровали - проверили - файлы корректно открываются - значит решение с дешифратором верное, и можно другие файлы расшифровать.

Если файлы из проверочного каталога не открываются, то логично предположить, что и другие файлы не откроются после "такой расшифровки".

 

Вообщем, у меня не получилось подобрать пароль, и это правильно, так файл был зашифрован по другой криптосхеме, нежели Trojan-Ransom.Win32.CryFile

 

 

Изменено 5 мая пользователем safety

[safety]

По очистке системы выполните:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [steam.exe] => C:\Users\vadim\AppData\Local\How-to-decrypt.txt [1430 2025-04-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-04-30 03:43 - 2025-04-30 04:27 - 000001430 _____ C:\How-to-decrypt.txt
2025-04-30 03:43 - 2025-04-30 03:43 - 000000000 ____D C:\temp
2025-04-30 03:40 - 2025-04-30 03:40 - 000000000 ____D C:\Users\vadim\Desktop\netSCAN
2025-05-01 10:59 - 2023-12-18 16:33 - 000000000 __SHD C:\Users\vadim\AppData\Local\0072EFF7-783D-F477-CDFA-0F3171F236E0
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Keldenis]

19 часов назад, safety сказал:

Добавьте, пожалуйста, в одном архиве эти файлы:

Файлы во вложении. 

 

19 часов назад, safety сказал:

вопрос: почему вы решили, что RakhniDecryptor подойдет для расшифровки файлов в вашем случае?

Просто перешли по ссылке из статьи на сайте Касперского и выбрали самую новейшую из размещенных там утилит. В нашей компании нет специалиста. А все программисты, которым мы звонили, отказались нам помогать. 

 

19 часов назад, safety сказал:

Сколько по времени у вас занял подбор пароля?

Когда мы загрузили первый файл, утилита пыталась подобрать пароль минут 10. Потом сообщила, что подобрать пароль не удалось. Мы загрузили другой файл, и через несколько минут она сообщила, что подобрала пароль.  При втором использовании утилиты (с удалением расшифрованных файлов) всё было примерно также по времени. 

 

19 часов назад, safety сказал:

Так же ,

если нет уверенности в том что дешифратор сможет корректно расшифровать файлы, надо выделить область/каталог с несколькими файлами, в дешифраторе указать данную ограниченную область для проверки расшифровки.

Расшифровали - проверили - файлы корректно открываются - значит решение с дешифратором верное, и можно другие файлы расшифровать.

Если файлы из проверочного каталога не открываются, то логично предположить, что и другие файлы не откроются после "такой расшифровки".

Спасибо! Будем знать. 

 

19 часов назад, safety сказал:

По этому вопросу лучше будет обратиться в техническую поддержку для выяснения ответа: возможна ли расшифровка файлов по данному типу шифровальщика или нет.

Хорошо, спасибо!

Файлы rakhni.zip

[safety]

1. Да, это Mimic Ransomware, впрочем сомнений не  было с самого начала, многие признаки указывали на этот тип.

Your unique ID is: ....................*encrypted

 

2. Расшифровка по данному типу шифровальщика, к сожалению невозможна без приватного ключа.

---------------------

 

3. Скрипт для FRST лучше выполнить согласно рекомендациям, так как в системе осталась папка с файлами шифровальщика.

-------------------

 

4. По логам RakhniDecryptor:

Цитата

 

14:23:35.0019 0x12a4  File path: C:\Users\Администратор.WIN-IAI9NFT471R\Documents\order-4xYTVkko3HTa6ERVNQ_4J4BRVfM-tickets.pdf.encrypted

14:23:35.0035 0x12a4  Decryptor #0: encrypted extension: .encrypted, original extension: .pdf
14:23:35.0035 0x12a4  Decryptor #0: cannot recover password
14:23:35.0035 0x12a4  Decryptor #1: encrypted extension: .encrypted, original extension: .pdf
14:23:35.0035 0x12a4  Decryptor #1: cannot recover password
14:23:35.0035 0x12a4  Decryptor #2: encrypted extension: .encrypted, original extension: .pdf
14:23:35.0035 0x12a4  Decryptor #2: cannot recover password
14:23:35.0050 0x12a4  Decryptor #3: encrypted extension: .encrypted, original extension: .pdf
14:23:41.0095 0x12a4  Start state: 0, end state: 1000000
14:23:41.0095 0x150c  Starting bruteforce
14:46:11.0072 0x11a4  Password recovered: Ox32YhYW2c94ODR
14:46:11.0072 0x11a4  ProcessDriveEnumEx: Drive C:\ type 3:0
14:46:11.0511 0x11a4  Known suspicious file: \\?\C:\bases1s\HRM\1Cv8.1CD.encrypted
14:46:23.0658 0x11a4  Decryption success: \\?\C:\bases1s\HRM\1Cv8.1CD.encrypted -> \\?\C:\bases1s\HRM\1Cv8.1CD

....

18:22:26.0922 0x11a4  Drive scan statistic:
18:22:26.0922 0x11a4  Processed:    499485
18:22:26.0922 0x11a4  Found:    18906
18:22:26.0922 0x11a4  Decrypted:    14912
18:22:26.0922 0x11a4  ================================================================================
18:22:26.0922 0x11a4  Scan finished
18:22:26.0922 0x11a4  ================================================================================
18:27:54.0270 0x1ce8  Deinitialize success

 

и

Цитата

19:45:47.0832 0x1684  Initialize success
19:45:52.0748 0x1bec  Number of worker threads: 8
19:46:01.0241 0x1bec  File path: C:\bases1s\**** 1с\1Cv8.1CD.encrypted
19:46:01.0256 0x1bec  Decryptor #0: encrypted extension: .encrypted, original extension: .1CD
19:46:01.0256 0x1bec  Decryptor #0: cannot recover password
19:46:01.0256 0x1bec  Decryptor #1: encrypted extension: .encrypted, original extension: .1CD
19:46:01.0256 0x1bec  Decryptor #1: cannot recover password
19:46:01.0256 0x1bec  Decryptor #2: encrypted extension: .encrypted, original extension: .1CD
19:46:01.0256 0x1bec  Decryptor #2: cannot recover password
19:46:01.0256 0x1bec  Decryptor #3: encrypted extension: .encrypted, original extension: .1CD
19:46:02.0779 0x1bec  Start state: 0, end state: 1000000
19:46:02.0779 0x1368  Starting bruteforce
20:05:26.0009 0x1bec  Password recovered: Ox32YhYW2c94ODR
20:05:26.0009 0x1bec  ProcessDriveEnumEx: Drive C:\ type 3:0
20:05:26.0323 0x1bec  Known suspicious file: \\?\C:\bases1s\HRM\1Cv8.1CD.encrypted
20:05:37.0682 0x1bec  Decryption success: \\?\C:\bases1s\HRM\1Cv8.1CD.encrypted -> \\?\C:\bases1s\HRM\1Cv8.1CD
21:03:40.0310 0x1bec  Drive scan statistic:
21:03:40.0310 0x1bec  Processed:    487635
21:03:40.0310 0x1bec  Found:    18891
21:03:40.0310 0x1bec  Decrypted:    4045
21:03:40.0310 0x1bec  ================================================================================
21:03:40.0310 0x1bec  Scan finished
21:03:40.0310 0x1bec  ================================================================================
09:05:49.0148 0x1fac  Deinitialize success

 

по этой ситуации лучше обратиться в техническую поддержку.
 

Изменено 6 мая пользователем safety

[Keldenis]

20 часов назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

ссылку переместил в ЛС

Fixlog.txt

Изменено 6 мая пользователем safety
файл загружен, ссылка удалена

[safety]

Хорошо,

 

Цитата

Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников.

 

проверьте ассоциации файлов. Скорее всего на расширение "encryped" добавлена команда запуска блокнота с открытием записки о выкупе.

 

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

+

проверьте ЛС.

Изменено 6 мая пользователем safety

[safety]

В 05.05.2025 в 13:17, Keldenis сказал:

Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем

Ваши файлы еще возможно восстановить до состояния Mimic/encrypted. Ключ восстановления и алгоритм известны. А далее следует ожидать лучших времен, когда будет возможно расшифровать Mimic.