mimic/n3wwv43 ransomware Шифровальщик KOZANOSTRA

[Беляш]

Добрый день.

не восстановил   белый лист для RDP  на роутере.

Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.

Пострадало  две машины и  файловое хранилище

Помогите пожалуйста с восстановлением.  

файлы работы   frst  и  шифровальщика  во вложении.

 

С уважением, Урянский Виктор

 

primery.zip frst.zip

[safety]

Систему сканировали kvrt или Cureit? Папку нашли с файлами шифровальщика?

[Беляш]

Папку  не нашел.   Троян в памяти   и в  библиотеке windows

cureit.log

У меня действующая   подписка   KSOS.  Где-то   прочел,  что мне вообще не сюда.  

[safety]

Судя по логам, файлы шифровальщика не найдены.

Возможно, папка с шифровальщиком была вручную удалена.

 

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S4 klgse.KSOS-21-14; system32\DRIVERS\KSOS-21-14\klgse.sys [X]
S4 klhk.KSOS-21-14; system32\DRIVERS\KSOS-21-14\klhk.sys [X]
U4 npcap_wifi; отсутствует ImagePath
S3 slusb; System32\Drivers\slusb.sys [X]
2025-06-17 22:54 - 2025-06-17 22:54 - 000000000 ____D C:\temp
2025-06-17 22:37 - 2025-06-17 22:37 - 000000000 ____D C:\Users\Андрей\AppData\Roaming\Process Hacker 2
2025-06-17 22:35 - 2025-06-17 22:35 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-06-17 22:35 - 2025-06-17 22:35 - 000000000 ____D C:\Program Files\Process Hacker 2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 19 июня пользователем safety

[Беляш]

7 часов назад, safety сказал:

Возможно, папка с шифровальщиком была вручную удалена.

точно не мной.

 

 

Fixlog.txt    https://disk.yandex.ru/d/SfCIZgOeg8lKyg

Quarantine.7z

[safety]

Судя по файлу session.tmp запуск шифровальщика точно был на этом устройстве.

 

Расшифровка по данному типу шифровальщика, к сожалению невозможна без приватного ключа.

[Беляш]

И надежды никакой?   наличие оригинального файла тоже не поможет?

 

[safety]

Нет. Надежда только на приватные ключи, если они попадут когда-нибудь в доступ.

[Беляш]

В 20.06.2025 в 11:51, safety сказал:

Нет. Надежда только на приватные ключи, если они попадут когда-нибудь в доступ.

Так понимаю,  надежда слабая. Да  и если такое случится,  вряд ли  кто-то  вспомнит  о  пострадавших.  Получается, сделать  выводы, забыть и жить дальше

Изменено 21 июня пользователем Беляш

[safety]

Цитата

Да  и если такое случится,  вряд ли  кто-то  вспомнит  о  пострадавших.

Информация по утечкам ключей публикуется здесь на форуме.

 

Да, сделать выводы, чтобы тот же снаряд опять не попал в тот же окоп.

 

теперь, когда ваши данные был зашифрованыs, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено 21 июня пользователем safety