Активность

Дешифратор есть, но к нему необходимы приватные ключи, которыми было выполнено шифрование. Без ключей расшифровка файлов после Mimic невозможна. И универсального ключа нет, который подошел бы ко всем случаям шифрования Mimic.

Здравствуйте! Программу Alibaba Supplier ставили самостоятельно? Если нет, деинсталлируйте. Далее: Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\...\MountPoints2: {1e4151e3-a52c-11ef-b7c8-e86538bbbeb7} - "H:\AutoRun.exe" HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\...\MountPoints2: {4fac3b09-1466-11f0-b7e3-e86538bbbeb8} - "L:\Autoplay.exe" -auto HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\...\MountPoints2: {b60a5123-fb7d-11ef-b7d6-e86538bbbeb8} - "K:\Autoplay.exe" -auto HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ ProxyServer: [S-1-5-21-3791147441-2617593827-1758140989-1001] => 127.0.0.1:10809 RemoveProxy: C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe CHR HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] 2025-08-28 00:45 - 2025-08-28 00:45 - 000000000 _RSHD C:\ProgramData\RDP Wrapper AlternateDataStreams: C:\Users\user\AppData\Local\Temp:$DATA [16] FirewallRules: [{09B5F0AF-6133-4963-988F-0AD2FE245033}] => (Allow) C:\Users\user\AppData\Local\Temp\rh_package\SabyAdmin_1035490543.exe => Нет файла FirewallRules: [{214A383F-2660-432A-B4BD-CE6E7927BAB1}] => (Allow) C:\Users\user\AppData\Local\Temp\rh_package\SabyAdmin_1035490543.exe => Нет файла FirewallRules: [{BB3108F8-45C7-443A-B20A-1DBAE9BA5A40}] => (Allow) C:\Users\user\AppData\Local\Temp\rh_package\SabyAdmin_1035490543.exe => Нет файла FirewallRules: [{9E4FA978-5DD3-402A-8B1E-E07D9C8EB0C9}] => (Allow) LPort=5159 FirewallRules: [{C5DC7A45-D628-4EAF-A1A1-8CB56D35958C}] => (Allow) LPort=5150 FirewallRules: [{C9E6FB2E-104A-40FD-83CD-EF963762DE9B}] => (Allow) LPort=5160 FirewallRules: [{1E95B96C-FC13-40FF-8C47-2B34BC4A6672}] => (Allow) C:\Program Files\Seagull\BarTender 2021\AdminConsole.exe => Нет файла FirewallRules: [{EF64A40B-A3E4-40EF-8808-6F208B2B20C0}] => (Allow) C:\Program Files\Seagull\BarTender 2021\AdminConsole.exe => Нет файла FirewallRules: [{DECCB03A-217D-409E-ACA7-82B49D560AB3}] => (Allow) C:\Program Files\Seagull\BarTender 2021\Maestro.Service.exe => Нет файла FirewallRules: [{186444A3-1939-4645-8D99-84804870E5A7}] => (Allow) C:\Program Files\Seagull\BarTender 2021\Maestro.Service.exe => Нет файла FirewallRules: [{F0DC84DA-E728-4ED6-A058-B0577C5B5B22}] => (Allow) LPort=5130 FirewallRules: [{90683FEF-CAA7-4FC5-BB5F-C5982DD5AF37}] => (Allow) LPort=32683 FirewallRules: [{69F5EE2A-5EC4-438B-9B20-07CEA1B4B7A4}] => (Allow) LPort=33683 FirewallRules: [{7C636874-211C-4E9F-949D-CBF7A67404B5}] => (Allow) LPort=26822 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Логи полные нужны, FRST.txt и Addition.txt + записка о выкупе.

Добрый день! Спасибо за информацию. Меры примем. Планируется ли в будущем разработка дешифровщика к данному типу?

просьба, не цитировать мои сообщения - в этом нет необходимости, просто пишите ваш ответ. Хорошо, теперь надо зачистить ненужные исключения в Windef, которые были добавлены вредоносными программами. Сделаем это еще раз через uVS, при запуске uVS надо отключить постоянную защиту штатных антивирусов (кроме Windef). Скрипт для выполнения такой: ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\PROGRAMDATA\ILSHOBHUTIFB\ZFFLNFQVPEQE.EXE delref WDE:\.EXE delref %SystemDrive%\USERS\YULIY\APPDATA\LOCAL delref %SystemDrive%\PROGRAM FILES delref %SystemDrive%\PROGRAM FILES (X86) delref %SystemDrive%\PROGRAMDATA delref %SystemDrive%\USERS\YULIY\APPDATA\ROAMING delref %Sys32%\CONFIG\SYSTEMPROFILE delref %SystemDrive%\USERS\YULIY apply restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + сделайте контрольный образ автозапуска в uVS (без отслеживания процессов)

Гран-при ИТАЛИИ | ЭТАП 16 П О Р Т А Л П Р О Г Н О З О В приём ставок на соревнование «Формулы-1» ¤ ¤ ¤ СТАВКИ ПРИНИМАЮТСЯ С 06 СЕНТЯБРЯ ДО 1655 06 СЕНТЯБРЯ (время московское)

Судя по логам FRST очистка майнера прошла успешно. Файла zfflnfqvpeqe.exe нет в автозапуске. продолжаем очистку системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6008] AlternateDataStreams: C:\Users\yuliy\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\yuliy\Application Data:48e63d4de0a63256000858a7c61c87df [394] AlternateDataStreams: C:\Users\yuliy\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\yuliy\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url> Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Addition.txt

Второй файл логов Addition.txt так же необходим.

3.09.25 Вечером было все нормально. Серверная машина всю ноч работала. Утром все зашифровано. FRST.txt virus.rar

FRST.txt 2025-09-05_09-16-09_log.txt

Много таких файлов? или задвоение было только на *.vhd?

Здравствуйте! примерно месяц жена установила русификатор для игры и на компьютере появился вирус. Зачистила угрозы, KVRT и DRWeb прогоняла, логи не нашел. Через время начал замечать что вентиляторы шумновато работают а сам компьютер теплый даже в холодные дни. И с несколько дней назад появилась такая фишка - отправляю в сон, все гаснет но компьютер не выключается, жму на клаву и вентили начинают взлетать. Открываю диспетчер - и тут же нагрузка падает и все становится тихо. Естественно гугл и изучение тем. Прогнал KVBR, ничего криминального не заметил, далее по темам смежным AVBR, который нашел майнер? какой-то и потом логи FRST64. Все прилагаю. Скажите пожалуйста - на сколько там все страшно, пароли нужно менять? чтото еще поправить, прогнать? Заранее вам большое спасибо за вашу работу! AV_block_remove_2025.09.05-04.58.log FRST.rar report_2025.09.05_04.39.00.klr.rar

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. + проверьте ЛС. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Указанные логи нужны для проверки системы. вы могли восстановить старые файлы, а новые файлы, добавленные злоумышленниками остались в системе.

Похоже на Mimic, добавьте несколько зашифрованных файлов+записку о выкупе в одном архиве без пароля, + нужны будут логи FRST от имени Администратора для последующей очистки системы.

Похоже, что не помогло. Новый скрипт для uVS Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE icsuspend delfake sreg ;---------command-block--------- delref %SystemDrive%\PROGRAMDATA\ILSHOBHUTIFB\ZFFLNFQVPEQE.EXE areg restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля По ссылке надо будет зайти, там инструкция есть, как создать данные логи. FRST - это другая программа для анализа, так же используем ее для очистки системы.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. tapinambur (45)Бенджамин Лайнус (31)Mr.kvn (42)ilya003 (37)Kate (38)КСВ (71)

Вытащил диск, вот пару зашифрованных файлов пароль infected files.rar

Добрый вечер! Ссылка архив загружен, ссылка удалена. на карантин и Fixlog.txt Fixlog.txt

Fixlog.txt

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3834620796-2756510299-1526032729-1000\...\RunOnce: [Uninstall 25.140.0720.0001] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\User\AppData\Local\Microsoft\OneDrive\25.140.0720.0001" [0 2025-09-04] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка] IFEO\EOSnotify.exe: [Debugger] / IFEO\InstallAgent.exe: [Debugger] / IFEO\MusNotification.exe: [Debugger] / IFEO\MusNotificationUx.exe: [Debugger] / IFEO\remsh.exe: [Debugger] / IFEO\SihClient.exe: [Debugger] / IFEO\UpdateAssistant.exe: [Debugger] / IFEO\upfc.exe: [Debugger] / IFEO\UsoClient.exe: [Debugger] / IFEO\WaaSMedic.exe: [Debugger] / IFEO\WaasMedicAgent.exe: [Debugger] / IFEO\Windows10Upgrade.exe: [Debugger] / IFEO\Windows10UpgraderApp.exe: [Debugger] / HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ Folder: C:\ProgramData\ilshobhutifb AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Privacy Dashboard.lnk:B7BB53F8D7 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Защитник Windows - включить.lnk:B687A0D541 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Защитник Windows - выключить.lnk:519EC8FAC8 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр обновления - включить.lnk:62291243C3 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр обновления - выключить.lnk:1ACDDC10A9 [3442] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4730] FirewallRules: [{F8FCF1CF-735A-4446-B395-8E1452EBABDD}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла FirewallRules: [{B432D94C-7C44-4CE1-921B-7E724AEB119D}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла FirewallRules: [TCP Query User{422CF1BC-3704-49EC-9132-51CBB32E6934}C:\users\user\appdata\local\discord\app-1.0.9008\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9008\discord.exe => Нет файла FirewallRules: [UDP Query User{5BB1E456-8EE4-4040-BE15-752E229EB8BB}C:\users\user\appdata\local\discord\app-1.0.9008\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9008\discord.exe => Нет файла FirewallRules: [TCP Query User{898A9C29-7A82-4271-BC05-C16AADFD9C5E}C:\users\user\appdata\local\faceit\app-1.31.10\faceit.exe] => (Allow) C:\users\user\appdata\local\faceit\app-1.31.10\faceit.exe => Нет файла FirewallRules: [UDP Query User{F787F261-3EEE-46DC-913D-195FD3BD1375}C:\users\user\appdata\local\faceit\app-1.31.10\faceit.exe] => (Allow) C:\users\user\appdata\local\faceit\app-1.31.10\faceit.exe => Нет файла FirewallRules: [{D80F0706-8541-4C23-BBBA-B646DEA846DC}] => (Allow) D:\wot\Wargaming.net\GameCenter\wgc.exe => Нет файла FirewallRules: [{E55F9EEF-88E6-464E-8F20-D82797BFCD95}] => (Allow) C:\Users\User\AppData\Local\GameCenter\GameCenter.exe => Нет файла FirewallRules: [{D013101A-878B-487D-8106-A45ABB25B17B}] => (Allow) C:\Users\User\AppData\Local\GameCenter\GameCenter.exe => Нет файла FirewallRules: [{1498A088-66C5-4290-A0DB-EDC39F29262B}] => (Allow) D:\GameCenter and Warface\GameCenter\GameCenter.exe => Нет файла FirewallRules: [{A749E716-4DFC-4DCD-854C-31D36CBE5EED}] => (Allow) D:\GameCenter and Warface\GameCenter\GameCenter.exe => Нет файла FirewallRules: [{180BA95B-4E39-4FA8-9193-4E71EC792667}] => (Allow) D:\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла FirewallRules: [{F3DDF3ED-1823-467E-870B-C19BBE4FC4E1}] => (Allow) D:\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла FirewallRules: [{3A7CF4EB-77FA-4B74-98E3-128F465DF815}] => (Allow) D:\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла FirewallRules: [{D572D3E9-990B-4788-A58B-2FDF5EF152C9}] => (Allow) D:\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла FirewallRules: [TCP Query User{4F92A485-F722-49A3-88A3-C134F4160B2E}C:\users\user\appdata\local\discord\app-1.0.9166\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9166\discord.exe => Нет файла FirewallRules: [UDP Query User{F3ECA205-D57B-460F-9526-3715F6F32333}C:\users\user\appdata\local\discord\app-1.0.9166\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9166\discord.exe => Нет файла FirewallRules: [TCP Query User{47FB8E7C-2F5C-4509-B9B2-AF1ACBEB1BB1}C:\users\user\appdata\local\faceit\app-2.0.23\faceit.exe] => (Allow) C:\users\user\appdata\local\faceit\app-2.0.23\faceit.exe => Нет файла FirewallRules: [UDP Query User{B19C0811-1938-48B0-BC28-8622E8654904}C:\users\user\appdata\local\faceit\app-2.0.23\faceit.exe] => (Allow) C:\users\user\appdata\local\faceit\app-2.0.23\faceit.exe => Нет файла FirewallRules: [TCP Query User{FB8E73D4-7AF2-42EF-ADE5-0A7E6C0BCB7C}C:\users\user\appdata\local\temp\rar$exa7220.18648\teamspeak3-server_win64\ts3server.exe] => (Allow) C:\users\user\appdata\local\temp\rar$exa7220.18648\teamspeak3-server_win64\ts3server.exe => Нет файла FirewallRules: [UDP Query User{AA080F74-5F4B-405B-B6B9-8F1247396529}C:\users\user\appdata\local\temp\rar$exa7220.18648\teamspeak3-server_win64\ts3server.exe] => (Allow) C:\users\user\appdata\local\temp\rar$exa7220.18648\teamspeak3-server_win64\ts3server.exe => Нет файла FirewallRules: [{2DC4081D-9A4D-4676-BE57-B493EAF4172F}] => (Block) C:\users\user\appdata\local\temp\rar$exa7220.18648\teamspeak3-server_win64\ts3server.exe => Нет файла FirewallRules: [{04C60536-6F6E-429A-A7A5-C86C64E548EF}] => (Block) C:\users\user\appdata\local\temp\rar$exa7220.18648\teamspeak3-server_win64\ts3server.exe => Нет файла C:\Users\User\AppData\Local\Temp\{be1d0560-7fa3-4ddd-9c9f-38b7a8f7de48} C:\ProgramData\ilshobhutifb Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Логи FRSt могла не так понять 2025-09-04_22-42-28_log.txt ZOO_2025-09-04_22-42-27.7z SAMURAI_2025-09-04_22-56-37_v5.0.1v x64.7z

Выпуск web-браузера Chrome 140 с поддержкой скрытия IP и блокировки скриптов