mimic/n3wwv43 ransomware Помогите с шифровальщиком *qy98nm2ssd

[Andreypresnetcov 0]

Добрый день, прошу помощи зашифрован сервер  шифровальшик изменил все файлы на расширение *qy98nm2ssd

в приложении также прилагаю письмо с требованием выкупа

Instruction.txt Desktop.rar

[Andreypresnetcov 0]

на мои запросы о помощи получил такое видео и требование уплаты 50000 руб. деньги по курсу биткоинами на кошелек

указанный в заявке. Деньги перевел после этого со мной перестали выходить на связь.

Буду обращаться в полицию.

Заранее спасибо.

Видео злодеев1302.rar

[safety 107]

Так же добавьте логи FRST (FRST.txt и Addition.txt) для анализа заражения и очистки системы.

[Andreypresnetcov 0]

Добавил файлы, только это копия системы 4 месячной давности(менял винт сохранилась) 

Addition.txt FRST.txt

[safety 107]

Правильно я понял, что логи сделаны в системе по состоянию  в доисторический период (т.е. до истории с шифрованием)?

Судя по логам FRST в системе нет следов шифрования. 

К сожалению, расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа.

Напишите, пожалуйста, по результату расследования. можно в ЛС. как будет  завершено.

------------

 

Примите меры безопасности против новых атак шифровальщиков.

 

Quote

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

[Andreypresnetcov 0]

Да логи с диска который сейчас работает, был сделан клон 4 месяца назад для продолжения работы установил пока его т.к. оснеовной и второй под резервные копии весь пролит *qy98nm2ssd и файлы не опознаются.

т.е. востановить данные не получиться я правильно понял?

[safety 107]

On 05.06.2024 at 10:53, Andreypresnetcov said:

т.е. востановить данные не получиться я правильно понял?

По Mimic Ransomware, который активен в течение более 1,5 лет, к сожалению, нет в настоящее время расшифровки файлов без приватного ключа. Злоумышленники, стоящие за Mimic используют утекший в сеть билдер Conti чтобы извлечь выгоду из его различных функций и даже улучшить код для более эффективных атак.

-----------

Будьте внимательны,

в ЛС, (после создания темы), к вам могут обратиться с предложением о помощи в расшифровке.

Если предлагают готовое решение с вашим приватным ключом - тогда это злоумышленники (ключ хранится у них),

если предлагают решение: расшифровать бесплатно несколько ваших файлов, как доказательство своих возможностей - и они это смогут сделать, запросив бесплатную расшифровку у злоумышленников, а остальные файлы - за выкуп вашего дешифратора/ключа за ваши деньги, то это могут посредники,

здесь основной риск - после получения оплаты посредники просто исчезают из чата или контакта,

если после получения вашей оплаты за дешифратор с ключом посредники исчезают из контакта, то это, увы, были мошенники.

Изменено 6 июня пользователем safety