mimic/n3wwv43 ransomware на 12 машинах произошло шифрование

[Гальваник]

22.01.26 утром на предприятии было обнаружено, что на 12 машинах произошло шифровании системы. Было отключено сетевое оборудование и распространение остановилось. Файлы после сканирования зараженной машины, прилагаю(пароль virus)

 

Addition.txt DECRYPT_FILES.txt FRST.txt

вирус.7z

Изменено 22 января пользователем safety

[safety]

По очистке текущего устройства:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [000_PP0_100-43.exe] => C:\Users\tadmin\AppData\Local\How_to_decrypt_files.txt [977 2026-01-22] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2026-01-22 03:22 - 2026-01-22 08:32 - 000000977 _____ C:\How_to_decrypt_files.txt
2026-01-22 01:38 - 2026-01-22 01:38 - 000000000 ____D C:\Users\tadmin\AppData\Roaming\Process Hacker 2
2026-01-22 01:31 - 2026-01-22 08:03 - 000000000 ____D C:\Program Files\Process Hacker 2
2026-01-22 01:31 - 2026-01-22 03:23 - 000002262 _____ C:\Users\tadmin\Desktop\Process Hacker 2.lnk.elpy-_LaN8d4KzUtT9FKZO3iFfjrFIv18fPoEsOzEphiG_QU
2026-01-22 01:31 - 2026-01-22 01:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2026-01-22 01:31 - 2026-01-22 01:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2026-01-22 01:15 - 2026-01-22 01:15 - 000000432 _____ C:\Windows\SysWOW64\winsevr.dat
2026-01-22 03:22 - 2026-01-22 03:22 - 000000000 ____D C:\temp
2026-01-22 11:22 - 2024-01-16 04:04 - 000000000 __SHD C:\Users\tadmin\AppData\Local\D4CDFE21-083C-7677-0B18-A2572DABFBF5
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

[Гальваник]

https://drive.google.com/file/d/1vbRFxw4lfEFIVyx66-eZsVFJv9wI61Eo/view?usp=drive_link

[safety]

Добавьте доступ к логам для safety*

[safety]

Это сделали?

Цитата

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

 

[Гальваник]

https://drive.google.com/file/d/1VamSTSjUqz6zJXIG98uaou7tOr7qLjpG/view?usp=drive_link

[safety]

Добавьте доступ к логам для safety*

[safety]

Для дополнительного анализа системы проверьте ЛС

[Гальваник]

файл загружен ссылка удалена

 

Изменено 23 января пользователем safety
файл загружен ссылка удалена

[safety]

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[Гальваник]

Спасибо

[safety]

обратите внимание:

Судя по ID из ваших логов/записок о выкупе - было несколько запусков шифровальщика возможно на разных, или на каждом из устройств, а значит и несколько ключей было использовано, т.е. по расшифровке файлов будет необходимо несколько дешифраторов, с соответствующим ключом.