mimic/n3wwv43 ransomware KOZANOSTRA зашифровано 2 ПК

[fdshsg]

Добрый день!

 

Шифровальщик затронул 2 ПК. К обоим ПК был доступ по RDP снаружи по нестандартным портам. Пароли устойчивые.

 

Просьба проанализировать возможность восстановления.

files.zip

[safety]

Получается прямо классическое: KOZANOSTRA на два ваших устройства.

 

Логи сейчас проверю.

По очистке системы:

Платформа: Microsoft Windows Server 2012 R2 Standard (Update) (X64) Язык: Русский (Россия)

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [svhost.exe] => C:\Users\eppel.i\AppData\Local\Decrypt_KOZANOSTRA.txt [999 2025-05-17] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
HKU\S-1-5-21-3593032530-3794895915-3123000660-1001\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3593032530-3794895915-3123000660-1004\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3593032530-3794895915-3123000660-1005\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3593032530-3794895915-3123000660-1006\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3593032530-3794895915-3123000660-1007\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3593032530-3794895915-3123000660-1009\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicyUsers\S-1-5-32-545\User: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-05-17 20:21 - 2025-05-17 20:21 - 000000000 ____D C:\temp
2025-05-17 20:30 - 2024-06-05 00:54 - 000000000 __SHD C:\Users\eppel.i\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F
Reboot::
End:

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[safety]

по очистке системы:

Платформа: Microsoft Windows 7 Максимальная  Service Pack 1 (X64) Язык: Русский (Россия)

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Платформа: Microsoft Windows 7 Максимальная  Service Pack 1 (X64) Язык: Русский (Россия)

 

 

Start::
HKLM\...\Run: [svhost.exe] => C:\Users\Игорь\AppData\Local\Decrypt_KOZANOSTRA.txt [999 2025-05-17] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-05-17 20:26 - 2025-05-17 20:26 - 000000000 ____D C:\temp
2025-05-17 20:26 - 2025-05-17 22:13 - 000000999 _____ C:\Decrypt_KOZANOSTRA.txt
2025-05-18 03:28 - 2022-08-19 02:59 - 000000000 __SHD C:\Users\Игорь\AppData\Local\B073BA68-1A84-BEA9-33E8-909EF1A0B7DA
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 18 мая, 2025 пользователем safety

[fdshsg]

ссылка удалена

Fixlog.txt

Изменено 18 мая, 2025 пользователем safety
архив загружен, ссылка удалена

[safety]

Для сервера так же нужны Fixlog и карантин после выполнения скрипта.

[fdshsg]

6 минут назад, safety сказал:

Для сервера так же нужны Fixlog и карантин после выполнения скрипта.

Скрипт тот же? На сервере нет "C:\Users\Игорь..."

[safety]

Для  сервера смотрите скрипт выше в сообщение.

 

"По очистке системы:

Платформа: Microsoft Windows Server 2012 R2 Standard (Update) (X64) Язык: Русский (Россия)..."

 

и далее идет скрипт.

[fdshsg]

quarantine_srv (Сервер)

Fixlog.txt

[safety]

Системы очищены успешно, жаль сэмп не попал в карантин, чтобы определить версию и количество используемых ключей.

Если нужен анализ проникновения на ваши устройства, напишите об этом.

Но сделаю, только завтра.

 

С расшифровкой файлов по данному типу шифровальщиков не сможем помочь.

 

Общие рекомендации:

 

теперь, когда ваши файлы был зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[fdshsg]

А gui40.exe - это не он?

Да, анализ был бы очень кстати, несмотря на уверенность в том, что была эксплуатирована какая-либо уязвимость RDP Windows 7. Очень интересует, как был получен доступ на сервер. Предполагаю, что проникли с скомпрометированной машины на Windows 7, на ней был RDP-файл с сохранённым админским доступом.

Подскажите, можно-ли продолжать использование Windows 2012 или это уже небезопасно? (Windows 7 разумеется перезальём на 10-ку от греха подальше)

Изменено 18 мая, 2025 пользователем fdshsg

[safety]

Цитата

А gui40.exe - это не он?

Нет, не он. Но из папки с шифровальщиком

 

Проверьте ЛС, там все написал.