mimic/n3wwv43 ransomware Поймал шифровальщик forumkasperskyclubru@msg.ws

15 октября

Поймал шифровальщик, зашифровал все базы данных 1с с подписью forumkasperskyclubru@msg.ws , 1Cv8.1CD.id[14F9299A-3398].[datastore@cyberfear.com].Elbie.ID-13A55AA4-1122-forumkasperskyclubru@msg.ws. Прикрепляю архив с зашифрованным файлом, логи с FRST. Инструкцию вымогателя не нашел. Прошу помочь

virus.rar Addition_15-10-2025 15.26.45.txt FRST_15-10-2025 15.14.31.txt

15 октября

Возможно этот файл:

Цитата

C:\Users\RDP11\AppData\Local\Kaspersky_info.txt

15 октября

+

C:\Users\Public\desktop.ini.id[14F9299A-3398].[datastore@cyberfear.com].Elbie.ID-13A55AA4-1122-forumkasperskyclubru@msg.ws

первый слой шифрования был очевидно давно, и это Phobos/Elbie - и он может быть расшифрован, если у вас сохранились эти старые файлы в зашифрованном виде.

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
2025-10-12 14:45 - 2025-10-13 10:38 - 000000223 _____ C:\Users\RDP11\AppData\Local\Kaspersky_info.txt
2025-10-12 14:45 - 2025-10-13 04:07 - 000000000 ____D C:\temp
2025-10-13 09:42 - 2024-09-18 12:09 - 000000000 __SHD C:\Users\RDP11\AppData\Local\760CE880-1480-060C-C180-4313EDE0913A
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

15 октября

Fixlog.txt Прикрепляю ссылку на архив с папкой Quarantine, пароль на архиве virus : https://dropmefiles.com/id6l2

2 часа назад, Sandor сказал:

Возможно этот файл:

Файл пустой, не имеет никаких записей. Таких файлов нашел 3 штуки, все пустые

15 октября

Пароль virus не подходит.

15 октября

Там облачный сервис ставит пароль 123 на первый архив и далее пароль virus на мой архив

15 октября

Судя по сэмплу шифровальщика KAV_tools.exe конфиг шифрования не изменился:

extension: "ID-13A55AA4-1122-forumkasperskyclubru@msg.ws"
encrypt percent: 10
note name: "Kaspersky_info.txt"
append key to ext: no
locker name: "KAV_TOOLS.exe"
keys: 4150
записка вполне читабельная и не забита нулями.

16 октября

Получается шанс расшифровать данные нет? Папку Quarantine удалить ? или желательно переустановить ОС ?

16 октября

По Mimic расшифровка файлов возможно только при наличие приватного ключа, которого у нас нет.

Папку с Quarantine можно удалить.

Для дополнительного анализа системы проверьте ЛС.

Как избежать новых ситуаций с шифрованием:

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 16 октября пользователем safety

mimic/n3wwv43 ransomware Поймал шифровальщик forumkasperskyclubru@msg.ws

Рекомендуемые сообщения

CrazyBlack

Sandor

safety

CrazyBlack

Sandor

CrazyBlack

safety

CrazyBlack

safety

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum