mimic/n3wwv43 ransomware Вирус шифровальщик, расширение .encrypted

[tireks]

Добрый день, сервер был взломан и заражен шифровальщиком, просим помощи в очистке системы от вируса и расшифровки файлов если это возможно.

отчеты FRST и архив (ransomware.zip) вероятного шифровальщика прикрепили.

FRST.txt Addition.txt ransomware.zip

[safety]

Возможно запуск шифровальщика был на другом устройстве в вашей сети..

на данном устройстве зашифрованы, скорее всего только общие папки.

Индикаторов запуска сэмпла шифровальщика в логах нет.

 

Нужны логи с устройства, на котором был запуск процесса шифрования.

Ищите в папке c:\temp файл session.tmp. размер 32 байта.

Изменено 27 сентября пользователем safety

[tireks]

Нашли. Куда загрузить файл session.tmp ?

[safety]

4 часа назад, tireks сказал:

Нашли. Куда загрузить файл session.tmp ?

Сделайте логи FRST на этом устройстве.

ession.tmp не поможет нам расшифровать ваши файлы, он указывает, что на данном устройстве был запуск процесса шифрования.

Изменено 27 сентября пользователем safety

[tireks]

Этот сервер виртуальный на proxmox, систему загрузить не можем, но есть прямой доступ к образу системы , возможно ли проверить каким-то иным способом? 

[safety]

Пробуйте проверить с помощью KRD.

[tireks]

Отчет сканирования прикрепили.

report_2025.09.28_21.51.28.klr.zip

[safety]

Этот файл можно восстановить из карантина, заархивировать с паролем virus, загрузить архив на облачный диск и дать ссылку на скачивание здесь?

Цитата

            <Event3 Action="Detected" Time="134035700507114614" Object="@Filesystem[dfd63084-60b7-4d42-c572-0ef156c7c1c4]/Users/noname/AppData/Local/51271509-366D-30C9-038E-A0FA16B1DDED/lucky_john.exe" Info="HEUR:Trojan-Ransom.Win32.Mimic.gen" />

+

Эту папку проверьте что в ней осталось:

c:/Users/noname/AppData/Local/51271509-366D-30C9-038E-A0FA16B1DDED

Изменено 29 сентября пользователем safety

[tireks]

Ссылка на архив

Изменено 29 сентября пользователем safety
архив загружен, ссылка удалена.

[safety]

хорошо, проверю архив немного позже. Данную папку можно удалить из системы и проверить возможность загрузки системы.

Если система загрузится, сделайте логи FRST для окончательной очистки системы.

Изменено 29 сентября пользователем safety

[tireks]

Система загрузилась, прогнали ещё раз FRST, отчет приложили.

FRST.txt Addition.txt

Изменено 29 сентября пользователем tireks

[safety]

по файлам:

lucky_john.exe

ESET-NOD32 A Variant Of Win32/Filecoder.Mimic.C

Kaspersky HEUR:Trojan-Ransom.Win32.Mimic.gen

DrWeb Trojan.Encoder.40979

https://www.virustotal.com/gui/file/45726c8e3c315c21e36dea3eb11ac966471466c4c271a75e98d76a65b1f43a02?nocache=1

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [lucky_john.exe] => C:\Users\noname\AppData\Local\How-to-decrypt.txt [1454 2025-09-26] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your PC.
Policies: C:\Users\buh_cheb_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_cheb_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_cheb_4\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_14\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_15\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_150\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_151\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_152\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_153\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_17\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_18\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_21\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_33\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_43\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_45\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_46\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_48\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_kirov_52\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_yar_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh_yola_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\slavin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\victor\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2025-09-26 04:36 - 2025-09-26 08:58 - 000001454 _____ C:\How-to-decrypt.txt
2025-09-26 04:36 - 2025-09-26 04:36 - 000000000 ____D C:\temp
2025-09-26 04:35 - 2025-09-26 04:35 - 000000000 ____D C:\Users\noname\WINDOWS
2025-09-26 04:34 - 2024-05-21 17:34 - 000128000 _____ C:\NS v.2.exe
2025-09-29 15:10 - 2024-02-05 13:24 - 000000000 __SHD C:\Users\noname\AppData\Local\51271509-366D-30C9-038E-A0FA16B1DDED
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 29 сентября пользователем safety

[tireks]

Файл Fixlog.txt прикрепили.

Ссылка на архив

Fixlog.txt

 

Подскажите пожалуйта, есть ли техническая возможность расшифровать файлы?

Изменено 29 сентября пользователем safety
врхив загружен, ссылка удалена

[safety]

Техническая возможность есть, но не хватает главное. Приватного ключа, который необходим для расшифровки файлов.

+

Проверьте ЛС.