mimic/n3wwv43 ransomware Ваши документы, базы данных и другие файлы были зашифрованы.

[sanka]

Добрый день!

 

Просьба помочь с расшифровкой.

Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении

FRST.zip примеры и записка вымогателя.zip

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2595112047-602804467-3070773364-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3417527858-3967748005-2206078591-1120\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2025-05-12 07:06 - 2022-12-10 10:37 - 000000000 __SHD C:\Users\Administratorsanka\AppData\Local\{01257F17-13C0-AC65-36A3-7E212655DA09}
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[sanka]

Запустил скрипт на двух зараженных компах, фикслоги во вложении.

в папке карантина FRST вроде ничего интересного -

но папку с вирусом с другого компьютера взял - , там вроде сам шифровальщик.

 

Есть надежда на расшифровку?

Fixlog1.txt Fixlog2.txt

 

перезакачал файл с вирусом 

в папке есть файлик session.tmp, не поможет в расшифровке?

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные файлы, а также ссылки на них.

[safety]

14 часов назад, sanka сказал:

Запустил скрипт на двух зараженных компах, фикслоги во вложении.

Скрипт написан для выполнения на одном устройстве, по которому были собраны логи FRST.

 

Если необходимо пролечить второй  ПК, соберите по нему так же логи FRST.

НА втором ПК осталась папка с файлами шифровальщика неочищенной, так как путь к ней другой.

"C:\Users\Administratorsanka\AppData\Local\{01257F17-13C0-AC65-36A3-7E212655DA09}" => not found

 

Цитата

в папке есть файлик session.tmp, не поможет в расшифровке?

Не поможет.

Изменено 13 мая пользователем safety

[sanka]

На другом ПК вручную удалил эту папку, сам вирус оттуда удаляет KVRT + удалил записи в HKLM...Current version/Run и RunOnce.

Спасибо!

[safety]

С расшифровкой файлов по данному типу шифровальщиков не сможем помочь.

 

теперь, когда ваши файлы был зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[safety]

По другим устройствам:

 

VIRTWIN - это устройство, скорее всего вручную почищено, папки с запуском нет, или уже нет. или вручную удалена.

 

INWIN ---  здесь следов шифрования Mimic не найдено, кроме логов после RYUK/FONIX

2023-03-02 01:12 - 2023-03-02 01:11 - 000002232 _____ () C:\Program Files\hrmlog1
2023-03-02 01:12 - 2023-03-02 01:11 - 000002232 _____ () C:\Program Files (x86)\hrmlog1
и кстати, расшифровка была скорее всего возможна. Если зашифрованные файлы с того времени сохранились, можно попробовать это расшифровать.

 

DESKTOP-RAGFBJ6 ---  здесь был запуск шифровальщика, эту папку удалите вручную

2025-05-12 18:53 - 2022-12-10 10:37 - 000000000 __SHD C:\Users\Administratorsanka\AppData\Local\{01257F17-13C0-AC65-36A3-7E212655DA09}

 

SVETA-OPTIPLEX -- здесь возможно запуск был, папка с файлами шифровальщика удалена, но остался архив.

2025-05-12 18:25 - 2025-05-12 18:25 - 002292859 _____ C:\Users\Administratorsanka\AppData\Local\{01257F17-13C0-AC65-36A3-7E212655DA09}.rar
 

LENOVO-BOOH ---  здесь запуск был. Но папка с файлами шифровальщика удалена.

скрипт очистки для frst:

 

Start::
HKLM\...\Policies\system: [legalnoticetext] ￐ﾒ￐ﾰ￑ﾈ￐ﾸ ￐ﾴ￐ﾾ￐ﾺ￑ﾃ￐ﾼ￐ﾵ￐ﾽ￑ﾂ￑ﾋ, ￐ﾱ￐ﾰ￐ﾷ￑ﾋ ￐ﾴ￐ﾰ￐ﾽ￐ﾽ￑ﾋ￑ﾅ ￐ﾸ ￐ﾴ￑ﾀ￑ﾃ￐ﾳ￐ﾸ￐ﾵ ￑ﾄ￐ﾰ￐ﾹ￐ﾻ￑ﾋ ￐ﾱ￑ﾋ￐ﾻ￐ﾸ ￐ﾷ￐ﾰ￑ﾈ￐ﾸ￑ﾄ￑ﾀ￐ﾾ￐ﾲ￐ﾰ￐ﾽ￑ﾋ. ￐ﾝ￐ﾾ ￐ﾽ￐ﾵ ￑ﾁ￑ﾂ￐ﾾ￐ﾸ￑ﾂ ￐﾿￐ﾵ￑ﾀ￐ﾵ￐ﾶ￐ﾸ￐ﾲ￐ﾰ￑ﾂ￑ﾌ! 
End::