Перейти к содержанию

Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen


Рекомендуемые сообщения

02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
подключились предположительно по RDP
зашифровали все базы 1с, бэкапы, архивы, документы
файл с обращением от вымогателей нашли
Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
Как можно обезопасится от подобного?
Поможет ли установка Kaspersky на все компьютеры сети?

Во вложении архив с примерами зашифрованных файлов из папки php
Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

photo_2025-07-03_13-06-30.jpg

php.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Также упакуйте в архив папку C:\KVRT2020_Data\Reports и тоже прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Забыл уточнить Kaspersky Virus Removal Tool запускал в безопасном режиме  Windows 7
kvrt0002.rar - первый архив из карантина с паролем как указано в "Порядке оформления запроса о помощи"
вторым сообщением будет второй файл из карантина и файл FRST.txt

kvrt0002.rar Reports.rar

Еще файлы

FRST.txt KVRTQ0000.rar

Ссылка на комментарий
Поделиться на другие сайты

Этот файл восстановите из карантина, добавьте в архив с паролем virus, загрузите архив в ваше сообщение.

            <Event6 Action="Detect" Time="133959954834091373" Object="C:\Users\Director\AppData\Local\A830A994-1E61-805B-532D-74E13170897A\svhost.exe"

            <Event19 Action="Select action" Time="133960134781899133" Object="C:\Users\Director\AppData\Local\A830A994-1E61-805B-532D-74E13170897A\svhost.exe" Info="Quarantine" />

 

(после загрузки файл можно удалить)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-07-03 01:02 - 2022-01-16 06:14 - 000000000 __SHD C:\Users\Director\AppData\Local\A830A994-1E61-805B-532D-74E13170897A
2025-07-03 16:52 - 2016-04-07 18:43 - 000000000 ____D C:\TEMP
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, safety сказал:

Этот файл восстановите из карантина, добавьте в архив с паролем virus, загрузите архив в ваше сообщение.

            <Event6 Action="Detect" Time="133959954834091373" Object="C:\Users\Director\AppData\Local\A830A994-1E61-805B-532D-74E13170897A\svhost.exe"

            <Event19 Action="Select action" Time="133960134781899133" Object="C:\Users\Director\AppData\Local\A830A994-1E61-805B-532D-74E13170897A\svhost.exe" Info="Quarantine" />

 

(после загрузки файл можно удалить)

во вложении запрошенный вами файл

svhost.rar

Ссылка на комментарий
Поделиться на другие сайты

Детект файла svhost.exe:

Kaspersky: HEUR:Trojan-Ransom.Win32.Mimic.gen

https://virusscan.jotti.org/ru-RU/filescanjob/7ub5sdl2p1

VirusTotal - File - ac64c6cb57bed2e4c716cf856ef042e65d1b33a3ffc05790c5dcdc98b5999817

version: 7.x, extension: "enkacrypt", note name: "Decrypt_enkacrypt.txt" locker name: "svhost.exe", keys: 10374

 

Хорошо, выполните очистку системы в FRST, скрипт выше.

 

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

+

проверьте ЛС.

---------------

По второму ПК. Возможно, что на втором ПК не было запуска шифровальщика, т.е. были зашифрованы только папки из общего доступа.

Если  необходима проверка второго ПК, сделайте на нем логи FRST, добавьте в эту же тему, здесь   и проверим.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Владислав Эпштейн
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • HOUSEDause
      Автор HOUSEDause
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ
      Не скачиваются антивирусы
    • Smorodina
      Автор Smorodina
      сканировал drweb cureit- обнаружил - вылечить не смог.
      помогите пож-та решить проблему: комп жестко тормозит - вентиллятор охлаждения крутится постоянно
       

    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • alexander6624
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

×
×
  • Создать...