mimic/n3wwv43 ransomware Шифровальщик KOZANOSTRA

[Беляш]

Добрый день.

не восстановил   белый лист для RDP  на роутере.

Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.

Пострадало  две машины и  файловое хранилище

Помогите пожалуйста с восстановлением.  

файлы работы   frst  и  шифровальщика  во вложении.

 

С уважением, Урянский Виктор

 

primery.zip frst.zip

[safety]

Систему сканировали kvrt или Cureit? Папку нашли с файлами шифровальщика?

[Беляш]

Папку  не нашел.   Троян в памяти   и в  библиотеке windows

cureit.log

У меня действующая   подписка   KSOS.  Где-то   прочел,  что мне вообще не сюда.  

[safety]

Судя по логам, файлы шифровальщика не найдены.

Возможно, папка с шифровальщиком была вручную удалена.

 

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S4 klgse.KSOS-21-14; system32\DRIVERS\KSOS-21-14\klgse.sys [X]
S4 klhk.KSOS-21-14; system32\DRIVERS\KSOS-21-14\klhk.sys [X]
U4 npcap_wifi; отсутствует ImagePath
S3 slusb; System32\Drivers\slusb.sys [X]
2025-06-17 22:54 - 2025-06-17 22:54 - 000000000 ____D C:\temp
2025-06-17 22:37 - 2025-06-17 22:37 - 000000000 ____D C:\Users\Андрей\AppData\Roaming\Process Hacker 2
2025-06-17 22:35 - 2025-06-17 22:35 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-06-17 22:35 - 2025-06-17 22:35 - 000000000 ____D C:\Program Files\Process Hacker 2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 19 июня, 2025 пользователем safety

[Беляш]

7 часов назад, safety сказал:

Возможно, папка с шифровальщиком была вручную удалена.

точно не мной.

 

 

Fixlog.txt    https://disk.yandex.ru/d/SfCIZgOeg8lKyg

Quarantine.7z

[safety]

Судя по файлу session.tmp запуск шифровальщика точно был на этом устройстве.

 

Расшифровка по данному типу шифровальщика, к сожалению невозможна без приватного ключа.

[Беляш]

И надежды никакой?   наличие оригинального файла тоже не поможет?

 

[safety]

Нет. Надежда только на приватные ключи, если они попадут когда-нибудь в доступ.

[Беляш]

В 20.06.2025 в 11:51, safety сказал:

Нет. Надежда только на приватные ключи, если они попадут когда-нибудь в доступ.

Так понимаю,  надежда слабая. Да  и если такое случится,  вряд ли  кто-то  вспомнит  о  пострадавших.  Получается, сделать  выводы, забыть и жить дальше

Изменено 21 июня, 2025 пользователем Беляш

[safety]

Цитата

Да  и если такое случится,  вряд ли  кто-то  вспомнит  о  пострадавших.

Информация по утечкам ключей публикуется здесь на форуме.

 

Да, сделать выводы, чтобы тот же снаряд опять не попал в тот же окоп.

 

теперь, когда ваши данные был зашифрованыs, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено 21 июня, 2025 пользователем safety

[Беляш]

Добрый день.

Я сегодня вернулся к   зашифрованному  устройству,  установил  KSOS  и выполнил  полную проверку.

Отчет  во вложении.

Помню   вы хотели увидеть  папку с ПО шифровальщика,  КSOS  что то нашел  в Appdata.

 

 

250717_NEOS-SF_KSOS полная проверка.txt

[safety]

Спасибо.

Самого тела шифровальщика не обнаружено, возможно оно ранее было удалено, или самоудалилось.

Судя по отчету, файлы шифровальщика были в этой папке

2025-06-17 23:10 - 2023-10-07 03:09 - 000000000 ____D C:\Users\Андрей\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F
и в скрипт очистки эта папка не попала.

То что было найдено KSOS в основном обнаружено в архиве карантина (FRST), который можно удалить теперь уж вручную, чтобы не было новых обнаружений при сканировании.

А эти обнаружения указывают на папку запуска:

Цитата

Сегодня, 17.07.2025 14:41:54    C:\Users\vic\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F\DC.exe    Обнаружено    Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.    not-a-virus:RiskTool.Win32.Disabler.mh    Базы    Файл    C:\Users\vic\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F    DC.exe    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    NEOS-SF\Андрей    Активный пользователь
Сегодня, 17.07.2025 14:41:54    C:\Users\vic\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F\Everything64.dll    Защищено паролем    Обнаружен защищенный паролем архив            Файл    C:\Users\vic\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F    Everything64.dll    Защищено паролем                NEOS-SF\Андрей    Инициатор
Сегодня, 17.07.2025 14:41:54    C:\Users\vic\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F\Everything64.dll    Защищено паролем    Обнаружен защищенный паролем архив            Файл    C:\Users\vic\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F    Everything64.dll    Защищено паролем                NEOS-SF\Андрей    Инициатор

----------------

С расшифровкой файлов пока ничего не изменилось, по прежнему невозможна без приватного ключа.