mimic/n3wwv43 ransomware зашифровали базы 1с на сервере

[Игорь Крайнев]

заразили компьютер и с него по rdp подключились к серверу с базами 1с и всё зашифровали

на сервере был установлен лицензионный Kaspersky Endpoint Security 12, у него удалили лицензию и он перестал работать

вероятно удалось вычислить и саму программу шифровальщика и сделать дамп процесса через processhacker

Addition.txt CRYPT_FILES.zip FRST.txt

[safety]

Шифрование произошло на одном или нескольких устройствах?

 

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [000_PP0_100-43] => C:\Users\Администратор\AppData\Local\A4270915-5DA9-7791-1712-071233678B1F\000_PP0_100-43.exe [6559248 2025-01-17] () [Файл не подписан]
HKLM\...\Run: [000_PP0_100-43.exe] => C:\Users\DjonSizov\AppData\Local\DECRYPT_FILES.txt [977 2026-01-23] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2026-01-23 15:39 - 2026-01-23 15:39 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
2026-01-23 03:07 - 2026-01-23 03:07 - 000000000 ____D C:\Users\DjonSizov\AppData\Roaming\Process Hacker 2
2026-01-23 03:06 - 2026-01-23 08:45 - 000000000 ____D C:\temp
2026-01-23 03:02 - 2026-01-23 03:02 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2026-01-23 03:02 - 2026-01-23 03:02 - 000000000 ____D C:\ProgramData\IObit
2026-01-23 03:02 - 2026-01-23 03:02 - 000000000 ____D C:\Program Files (x86)\IObit
2026-01-23 03:01 - 2026-01-23 05:17 - 000000000 ____D C:\Program Files\Process Hacker 2
2026-01-23 03:01 - 2026-01-23 03:01 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2026-01-23 08:45 - 2025-02-12 23:24 - 000000000 __SHD C:\Users\Администратор\AppData\Local\A4270915-5DA9-7791-1712-071233678B1F
2026-01-23 08:44 - 2025-08-09 00:09 - 000000000 __SHD C:\Users\DjonSizov\AppData\Local\A4270915-5DA9-7791-1712-071233678B1F
2026-01-23 08:44 C:\Users\DjonSizov\AppData\Local\A4270915-5DA9-7791-1712-071233678B1F
2026-01-23 08:45 C:\Users\Администратор\AppData\Local\A4270915-5DA9-7791-1712-071233678B1F
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено 24 января пользователем safety

[Игорь Крайнев]

Quarantine здесь https://cloud.mail.ru/public/MYtS/omSpWQsSg

Архив с дампом вероятного вируса https://cloud.mail.ru/public/9jud/gsuyXqJiC

пароль на оба архива virus

Зашифровали 2 сервера, на рабочих станциях заражения нет

Вероятно заражение произошло с компьютера специалиста по 1С, который работал удаленно

 

Fixlog.txt

[safety]

Дампы скорее всего не помогут,

так как при шифровании использовался публичный ключ session.tmp, а для расшифровки файлов необходим приватный ключ, соответствующий публичному session.tmp

 

Для дополнительного анализа проверьте ЛС.