mimic/n3wwv43 ransomware Зашифрованы forumkasperskyclubru@msg.ws

[oddppo]

Здравствуйте.
Сервер с базами MS SQL подхватил шифровальщика.
Прошу о помощи.
Спасибо. 

 

Addititon.txt FRST.txt примеры фалов и логи.7z Kaspersky_info.txt

[oddppo]

Вирус все еще активен на сервере. 
вероятно как KAV_TOOLS.exe
Как я понял работает из под учетки Administrator
FRST64 я запускал из под ней же. Имеет смысл запустить от новой учетной запили?

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CloseProcesses:
CreateRestorePoint:
Unlock: C:\Users\Administrator\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25
Unlock: C:\Users\rebooter\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25
Folder: C:\Users\Administrator\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25
Folder: C:\Users\rebooter\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25
File: C:\Users\Administrator\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25\KAV_TOOLS.exe
C:\Users\Administrator\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25\KAV_TOOLS.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

[safety]

+

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[oddppo]

файл загружен, ссылка удалена.
(virus)

 

Fixlog.txt

Изменено 17 часов назад пользователем safety
файл загружен, ссылка удалена.

[safety]

Судя по файлу из карантина, это Mimic.

Цитата

 

version: 7.x
extension: "ID-13A55AA4-1122-forumkasperskyclubru@msg.ws"

encrypt percent: 10

note name: "Kaspersky_info.txt"

locker name: "KAV_TOOLS.exe"
keys: 4150

 

 

 

 

[oddppo]

 дешифровке не подлежит? 

[safety]

Без приватного ключа (которого у нас нет) расшифровка по данному типу невозможна.

[oddppo]

Благодарю за попытку.

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
2025-08-30 13:46 - 2023-12-17 11:49 - 000000000 __SHD C:\Users\rebooter\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25
2025-08-30 13:46 - 2022-02-23 09:32 - 000000000 __SHD C:\Users\Administrator\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25
2025-08-30 13:46 - 2025-08-30 13:46 - 000000223 _____ C:\Users\Administrator\AppData\Local\Kaspersky_info.txt
2025-08-30 10:04 - 2025-08-30 10:04 - 000000223 _____ C:\Users\rebooter\Desktop\Kaspersky_info.txt
2025-08-30 09:09 - 2025-08-30 13:46 - 000000223 _____ C:\Kaspersky_info.txt
2025-08-30 09:09 - 2025-08-30 13:46 - 000000000 ____D C:\temp
HKU\S-1-5-21-494886095-1253397284-1811604185-500\Software\Classes\exefile: "%1" %* <==== ATTENTION
FirewallRules: [SLBM-MUX-IN-TCP] => (Allow) %SystemRoot%\system32\MuxSvcHost.exe => No File
FirewallRules: [{79E2768E-2475-4EF5-884A-66D2819011B9}] => (Allow) C:\Users\Administrator\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [{CAA96EDB-062E-47A5-969E-17785D8E9656}] => (Allow) C:\Users\Administrator\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [{36C5D26B-B220-4CAD-ADBA-F8ABAF8DBFDD}] => (Allow) C:\Program Files (x86)\Iteamma\Text Replacer\TR.exe => No File
FirewallRules: [{05B62E46-B67E-4776-ABFD-E90377AE6044}] => (Allow) C:\Program Files (x86)\Iteamma\Text Replacer\TR.exe => No File
FirewallRules: [{3FA663FC-DB29-41C9-85A0-56660A55F2D3}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
FirewallRules: [{D8724F69-5541-47B3-881D-8EAD947C945E}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
FirewallRules: [{9507CB6D-09EB-492A-992A-124E1FE70D03}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
FirewallRules: [{9684F749-02B2-43BF-8A16-BB255E31EAA6}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

[oddppo]

Fixlog.txt

[thyrex]

Как Вам уже написали выше, на этом наша помощь закончилась.

[safety]

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);