mimic/n3wwv43 ransomware Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)

[DanilDanil]

Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.

Important_Notice.txt

[Sandor]

Здравствуйте!

 

11 минут назад, DanilDanil сказал:

форум ограничивает

Упакуйте в архив.

 

А также выполните в полном объеме Порядок оформления запроса о помощи

[DanilDanil]

UPD.
Прикрепляю архив с зашифрованными файлами и архив с логами Farbar. постараюсь найти винованик -exe и дополнить тред

Farbar.rar Зашифрованные файлы.rar

Изменено 7 июля пользователем DanilDanil

[safety]

Пароль какой к архиву с зашифрованными файлами?

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [Chrome.exe] => C:\Users\Administrator\AppData\Local\Important_Notice.txt [6277 2025-07-05] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] **Important Notice!**
IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2025-07-06 04:03 - 2025-07-06 04:03 - 000000000 ____D C:\Users\Administrator\AppData\Roaming\Process Hacker
2025-07-06 02:03 - 2025-07-06 02:09 - 000000000 ____D C:\Program Files\Process Hacker
2025-07-06 02:03 - 2025-07-06 02:03 - 000001632 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker.lnk
2025-07-06 02:03 - 2025-07-06 02:03 - 000001620 _____ C:\Users\Public\Desktop\Process Hacker.lnk
2025-07-06 02:03 - 2025-07-06 02:03 - 000001572 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PE Viewer.lnk
2025-07-06 01:53 - 2025-07-06 01:53 - 000000000 ____D C:\temp
2025-07-06 03:54 - 2023-01-27 17:55 - 000000000 __SHD C:\Users\Administrator\AppData\Local\02A44B1E-721F-27DE-E44A-13BA81B06263
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[DanilDanil]

17 часов назад, safety сказал:

Пароль какой к архиву с зашифрованными файлами?

02534

[safety]

Если скрипт очистки уже выполнили, то

 

Цитата

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

 

Изменено 8 июля пользователем safety

[DanilDanil]

8 часов назад, safety сказал:

Если скрипт очистки уже выполнили, то

 

 

https://disk.yandex.ru/d/27PgkQrc3wZBFw

 

Какие шансы на декодирование?

[safety]

Если систему сканировали в KVRT или cureit добавьте логи и отчеты о сканировании. В архиве, без пароля.

Шансов на расшифровку без приватного ключа нет. Ключ есть только у злоумышленников. На нашей стороне остается лишь публичный ключ, который недостаточен для расшифровки файлов. Таковы реалии  асимметричной криптографии.

Изменено 8 июля пользователем safety

[DanilDanil]

19 минут назад, safety сказал:

Если систему сканировали в KVRT или cureit добавьте логи и отчеты о сканировании. В архиве, без пароля.

Шансов на расшифровку без приватного ключа нет. Ключ есть только у злоумышленников. На нашей стороне остается лишь публичный ключ, который недостаточен для расшифровки файлов. Таковы реалии  асимметричной криптографии.

Чуть позже предоставлю логи. Но как тогда работают декодеры для уже известных шифраторов?

 

[safety]

1 час назад, DanilDanil сказал:

Но как тогда работают декодеры для уже известных шифраторов?

По разному.

Разные схемы шифрования используются.

Иногда проект закрывается, и злоумышленники публикуют приватные ключи, или мастер ключи, благодаря которым вирлабы создают дешифраторы. Иногда злоумышленники допускают неточности или ошибки в схемах шифрования, и оставляют возможность исследователям получить ключи шифрования. Иногда полиция принуждает злоумышленников к публикации ключей. Иногда совесть или расчет.

Изменено 8 июля пользователем safety

[DanilDanil]

22 часа назад, safety сказал:

Если систему сканировали в KVRT или cureit добавьте логи и отчеты о сканировании. В архиве, без пароля.

Шансов на расшифровку без приватного ключа нет. Ключ есть только у злоумышленников. На нашей стороне остается лишь публичный ключ, который недостаточен для расшифровки файлов. Таковы реалии  асимметричной криптографии.

 

cureit.log

[safety]

Папка шифровальщика была очищена до момента создания логов FRST, так что проверка в Курейт ничего уже не нашла, кроме вспомогательных инструментов.

Total 2 files (3 objects) are infected

 

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

С расшифровкой не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);