mimic/n3wwv43 ransomware Вирус-шифровальщик. Сервер 1с.

[Keldenis]

Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.

Зашифрованные файлы.zip Addition.txt FRST.txt

[safety]

Добавьте, пожалуйста, в одном архиве эти файлы:

Цитата

2025-04-30 19:45 - 2025-05-01 09:05 - 019875474 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_19.45.45_log.txt
2025-04-30 19:17 - 2025-04-30 19:36 - 000396512 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_19.17.18_log.txt
2025-04-30 18:35 - 2025-04-30 19:09 - 000817022 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_18.35.14_log.txt
2025-04-30 13:45 - 2025-04-30 13:46 - 000003618 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_13.45.11_log.txt
2025-04-30 13:45 - 2025-04-30 13:45 - 000002072 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_13.45.07_log.txt
2025-04-30 09:46 - 2025-04-30 09:47 - 000003078 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_09.46.25_log.txt
2025-04-30 09:38 - 2025-04-30 09:40 - 000002704 _____ C:\RakhniDecryptor.1.47.2.0_30.04.2025_09.38.22_log.txt
2025-04-30 03:43 - 2025-04-30 04:27 - 000001430 _____ C:\How-to-decrypt.txt

+

вопрос: почему вы решили, что RakhniDecryptor подойдет для расшифровки файлов в вашем случае?

 

Прежде чем использовать любой дешифратор, надо вначале определить тип шифровальщика.

 

Цитата

Утилита вновь успешно подобрала пароль и расшифровала файлы

Сколько по времени у вас занял подбор пароля?

 

По этому вопросу лучше будет обратиться в техническую поддержку для выяснения ответа: возможна ли расшифровка файлов по данному типу шифровальщика или нет.

 

Здесь список типов шифровальщиков, по которым возможна расшифровка:

https://support.kaspersky.ru/common/disinfection/10556

Как видим по ссылке, Mimic Ransomware здесь нет.

Возможно, дешифратор принял ваш файл за это:

Trojan-Ransom.Win32.CryFile: <имя_файла>.<оригинальное_расширение>.encrypted

 

Но такое сейчас встречается нередко, когда разные типы шифровальщиков могут иметь одинаковые шаблоны зашифрованных файлов, поэтому следует исходить из определения типа шифровальщика, а затем уже подбора дешифратора.

 

Так же ,

если нет уверенности в том что дешифратор сможет корректно расшифровать файлы, надо выделить область/каталог с несколькими файлами, в дешифраторе указать данную ограниченную область для проверки расшифровки.

Расшифровали - проверили - файлы корректно открываются - значит решение с дешифратором верное, и можно другие файлы расшифровать.

Если файлы из проверочного каталога не открываются, то логично предположить, что и другие файлы не откроются после "такой расшифровки".

 

Вообщем, у меня не получилось подобрать пароль, и это правильно, так файл был зашифрован по другой криптосхеме, нежели Trojan-Ransom.Win32.CryFile

 

 

Изменено 4 часа назад пользователем safety

[safety]

По очистке системы выполните:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [steam.exe] => C:\Users\vadim\AppData\Local\How-to-decrypt.txt [1430 2025-04-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-04-30 03:43 - 2025-04-30 04:27 - 000001430 _____ C:\How-to-decrypt.txt
2025-04-30 03:43 - 2025-04-30 03:43 - 000000000 ____D C:\temp
2025-04-30 03:40 - 2025-04-30 03:40 - 000000000 ____D C:\Users\vadim\Desktop\netSCAN
2025-05-01 10:59 - 2023-12-18 16:33 - 000000000 __SHD C:\Users\vadim\AppData\Local\0072EFF7-783D-F477-CDFA-0F3171F236E0
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.