mimic/n3wwv43 ransomware Расшифровка файлов

[Barsetka 0]

Добрый день.Зашифровало .NESCHELKAIEBALOM.

Подскажите,что нужно что бы попытаться расшифровать файлы.

[safety 130]

Добавьте несколько зашифрованных файлов + записку о выкупе, + необходимы логи FRST (FRST.txt и Addition.txt)

[Barsetka 0]

Подскажите,FRST нужно запускать на зараженной системе ? сейчас hdd вытащили в другой пк вставили.или можно на новом

Desktop.rar CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt

Изменено 27 марта пользователем Barsetka

[safety 130]

Нет, FRST создаст логи только в текущей активной системе.

FRST нужен чтобы отследить цепочку созданных файлов, и для очистки системы тоже важен.

 

сделайте вначале на другом ПК, куда подключили зашифрованный диск образ автозапуска в uVS, проверим нет ли в автозапуске файлов шифровальщика. только после запуска start.exe надо выбрать каталог системы с присоединенного диска (с шифрованием, который).

 

сделайте образ автозапуска системы в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)

 

Quote

Здесь надо выбрать будет системный каталог с присоединенного зашифрованного диска

3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

[Barsetka 0]

Готово

 

BUH1_2024-03-27_16-46-07_v4.15.1.7z

[safety 130]

В автозапуске все чисто. Можно собрать FRST на родной системе.

[Barsetka 0]

Готово

Addition.txt FRST.txt

[safety 130]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [hjppjkabmcjcmfoanoclkkjlcelepaeo]
CHR HKLM\...\Chrome\Extension: [ocilkclgcgcpfbmkmgnjgfjoanjefnop]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
CHR HKLM-x32\...\Chrome\Extension: [hjppjkabmcjcmfoanoclkkjlcelepaeo]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [ocilkclgcgcpfbmkmgnjgfjoanjefnop]
2024-03-25 14:08 - 2021-12-05 06:29 - 000000000 __SHD C:\Users\admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

[Barsetka 0]

Добрый день.Это нужно делать на зараженной системе?

 

[safety 130]

да, делать из системы, откуда были сняты логи FRST