mimic/n3wwv43 ransomware май 2024 шифровальщик WORM

[Alexey-2024]

Добрый день !

Прошу помощи в дешифровке файлов

исполняемые модули не интересуют, важны текстовые файлы и документы

секретов никаких на дисках нет, здесь только файлы рабочих проектов и рабочая документация

 

Прилагаю

два отчета программы Farbar Recovery Scan Tool

несколько файлов с зашифрованных папок в формате архива RAR с паролем virus

 

Заранее признателен за помощь, с уважением, Алексей М. 

2024-worm-sample.rar FRST.txt Addition.txt

Изменено 29 мая, 2024 пользователем Sandor
убрал телефон

[Sandor]

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Если нужна помощь в очистке системы, придётся переделать логи, т.к.:

Цитата

Запущено с помощью phoenix (ВНИМАНИЕ: Пользователь не является Администратором)

 

Вы напрасно публикуете свой номер телефона. С вашего согласия можем его удалить из сообщения.

[Alexey-2024]

Благодарю за быстрый ответ

Логи переделаю от имени администратора, телефон из переписки удалите, верно подметили 

 

Помощь в удалении вируса очень нужна

С уважением, Алексей

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\...\Run: [HORSE.exe] => C:\Users\ftp#\AppData\Local\DECRYPTION_INFO.txt [0 0000-00-00] () [Доступ не разрешён]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\phoenix\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn]
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj]
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
2024-05-25 00:32 - 2024-05-25 03:15 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-05-25 00:32 - 2024-05-25 00:32 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
FirewallRules: [{5A9ED7FC-E0AC-44CD-B26D-2CF06380574D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B281D680-B711-4212-9420-8C2A04991C36}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{7357B448-0CE8-468A-91D4-8308A5DA6CC6}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{E9C994A5-5BCD-467E-95A3-C8E8C3288FC0}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C326A872-C196-4D77-8244-0EC804E87766}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C49B9200-E919-4277-9AF8-8A38B462D976}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

[Alexey-2024]

Благодарю за ценный скрипт

Изменено 1 июня, 2024 пользователем Alexey-2024