mimic/n3wwv43 ransomware ШИФРОВАЛЬШИК datastore@cyberfear.com

[Синтезит]

Здравствуйте, помогите пожалуйста расшифровать.

Ссылка на зашифрованные файлы от платформы 1с

https://dropmefiles.com/8aGW7 пароль 0uJxTd

 

Чистые файлы из архива Windows

https://dropmefiles.com/PzSaC пароль ecUlCq

Addition.txt FRST.txt

[safety]

Чистые файлы не нужны, тем более что и пароль не подходит.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
Policies: C:\Users\Lenina\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Manaeva\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Nedorezova2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\net_user\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-11-09 23:30 - 2024-11-10 02:11 - 000001224 _____ C:\Users\Diler\AppData\Local\README_SOLVETHIS.txt
2024-11-06 12:26 - 2024-11-10 02:06 - 000000000 ____D C:\TEMP
2024-11-10 02:12 - 2023-02-28 16:12 - 000000000 __SHD C:\Users\Diler\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

+

проверьте ЛС.

Изменено 15 ноября, 2024 пользователем safety

[Синтезит]

Fixlog.txt

[safety]

Другие устройства в сети не затронуты шифрованием?

[Синтезит]

Затронуты, но есть подозрение, что это первый компьютер.

[safety]

Если Id на записках о выкупе такой же как на этом устройстве, значит шифрование было отдним и тем же ключом.

 

Изменено 15 ноября, 2024 пользователем safety

[Синтезит]

Ответил в ЛС.

Я не видел сообщение о выкупе в очевидных местах.

[safety]

Судя по логам, была взломана учетная запись Diler, которая не является Администратором в системе.

поэтому возможно, если была включена защита системы, но должны были сохраниться точки восстановления.

Проверьте.

Записка о выкупе есть в этой системе

README_SOLVETHIS.txt

 

Изменено 15 ноября, 2024 пользователем safety

[Синтезит]

Искал на всех локальных дисках и не нашел.

[safety]

К сожалению, не сможем помочь вам с расшифровкой файлов по данному типу шифровальщика.