mimic/n3wwv43 ransomware Зашифровали файлы на сервере.

[GLADvanger]

Добрый день!

Зашифровали файлы добавили в каждому расширение .com

При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:

Hi!
All your files are encrypted!
Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
We will solve your problem but you need to pay to get your files back
Write us
Our email - tony@mailum.com

 

KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb

 

Логи в приерепленном

 

FRST log.rar

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [HORSES.exe] => C:\Users\Falcon\AppData\Local\tony_DECRYPTION_README.txt [225 2025-05-09] () [Файл не подписан]
HKLM\...\Run: [ENC_default_default_2024-08-23_22-53-04=tony@mailum.com.exe] => C:\Users\Falcon\AppData\Local\tony_DECRYPTION_README.txt [225 2025-05-09]
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\system: [legalnoticetext] Hi!
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
S2 SkypeUpdate; "C:\Program Files (x86)\Skype\Updater\Updater.exe" [X]
S4 WinHttM; C:\Windows\Secyritii64\nssm.exe [X] <==== ВНИМАНИЕ
2025-05-10 10:02 - 2023-07-24 13:37 - 000000000 __SHD C:\Users\Falcon\AppData\Local\1EE403F0-2ADF-7A0E-1F53-6A981697AE87
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[GLADvanger]

Готово!

 

https://cloud.mail.ru/public/PxsJ/93BFqxb8r

 

 

Fixlog.txt

[safety]

Такой еще скрипт для FRST.

 

Start::
HKLM\...\.com: mimicfile => notepad.exe "C:\Users\Falcon\AppData\Local\tony_DECRYPTION_README.txt" <==== ВНИМАНИЕ
Reboot::
End::

 

После перезагрузки проблема

Цитата

 

При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:

Hi!

 

должна решиться.

 

 

С расшифровкой файлов по данному типу шифровальщиков не сможем помочь.

 

теперь, когда ваши файлы был зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 13 мая пользователем safety

[GLADvanger]

Спасибо за попытку и оказанную помощь!