Шифровальщик NS2.exe

[Wolvevilil]

На компьютер со сделанным туннелем на RDP порт прилетел шифровальщик, лежит в архиве Шифровальщик, пароль virus. В архиве Логи результаты скана FRST.exe, в архиве Файлы 2 шифрованных файла и записка.

 

[Severnyj]

Раз уж сидят в памяти, снимите дампы процессов:

C:\Users\MACROSCOP\AppData\Local\317FBF99-D7E7-E34E-DBBF-417FBC63E83A\000_PP0_100-43.exe
C:\Users\MACROSCOP\Documents\NS v.2.exe

И пришлите эти файлы тоже.

 

[Wolvevilil]

На форум не влезает, выложил на gdrive: Дампы.7z

 

[Severnyj]

Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
C:\Users\MACROSCOP\AppData\Local\317FBF99-D7E7-E34E-DBBF-417FBC63E83A\000_PP0_100-43.exe
File: C:\Users\MACROSCOP\Documents\NS v.2.exe
Task: {10467528-849F-4E68-80D1-1C9A28D0E401} - System32\Tasks\ASUS\NoiseCancelingEngine => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\MBLedSDK\NoiseCancelingEngine.exe  (Нет файла)
Task: {310B08A4-D438-40F3-96A3-C83B81F3D40F} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe  (Нет файла)
2026-05-30 09:28 - 2026-05-30 09:28 - 000000959 _____ C:\Users\MACROSCOP\AppData\Local\DECRYPT_FILES.txt
2026-05-30 09:28 - 2026-05-30 09:28 - 000000959 _____ C:\DECRYPT_FILES.txt
2026-05-30 09:28 - 2026-05-30 09:28 - 000000959 _____ () C:\Users\MACROSCOP\AppData\Local\DECRYPT_FILES.txt
2026-05-30 09:28 C:\Users\MACROSCOP\AppData\Local\317FBF99-D7E7-E34E-DBBF-417FBC63E83A
FirewallRules: [{3C155239-5176-4E95-A7F4-F198B5718050}] => (Allow) C:\Users\MACROSCOP\AppData\Local\Packages\B9ECED6F.ArmouryCrate_qmba6cd70vzyy\LocalState\GridUpdateFile\ASUSGCDriverUpdateClient.exe => Нет файла
Zip: C:\FRST\Quarantine
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.

Файл вида Дата_Время.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru (если сайт сообщает о вирусе в архиве, упакуйте архив в архив с паролем virus), ссылку пришлите на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля в теле письма.

 

[Wolvevilil]

Fixlog прилагаю, на почту ссылку отправил.

 

[Severnyj]

Соберите свежие логи FRST.txt и Addition.txt старые удалите в корзину.

 

[Wolvevilil]

Свежие логи прикладываю.

 

[Severnyj]

В карантине Trojan-Ransom.Win32.Mimic, не известно ни одного способа расшифровки файлов, зашифрованных какими-либо вариантами вымогателей Mimic/Pay2Key без оплаты выкупа (что не рекомендуется) и без получения приватных ключей шифрования от создателей вымогателя, если только не было утечки или изъятия правоохранительными органами. Шифрование защищено, и для расшифровки необходим главный приватный ключ преступника.

Рекомендуется резервное копирование зашифрованных файлов. Так же следите за новостями, например здесь.
Если будет слив ключей, или полиция доберется до серверов злоумышленников.

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист).

 

[Wolvevilil]

Зашифрованные файлы волнуют не сильно. Нужно понять, активен ли в данный момент троян на машине (перезагрузилась, в активных процессах ничего подозрительного не вижу), сможет ли он сам запуститься, и если нет, то какие файлы удалить, чтобы избавиться от вируса.

 

[Severnyj]

А в автозагрузку такого не помещают. Запускают вручную после того, как получили доступ. Поэтому смена паролей и закрытие дыр - это и есть "отключение загрузки".

 

[Wolvevilil]

Понял, спасибо большое.