mimic/n3wwv43 ransomware Datastore@cyberfear

[Batnik]

На рабочем месте есть доступ по rdp. Запустили утром пк, а там сообщение что все зашифровано

crypted_file.7z FRST.txt Addition.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\...\Run: [BACHOKTECHET.exe] => C:\Users\user\AppData\Local\README_SOLVETHIS.txt [1224 2024-11-26] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-11-26 21:45 - 2024-11-26 21:45 - 000000000 ____D C:\Users\user\AppData\Roaming\Process Hacker 2
2024-11-26 21:41 - 2024-11-26 21:41 - 000001224 _____ C:\Users\user\Desktop\README_SOLVETHIS.txt
2024-11-26 20:29 - 2024-11-26 21:41 - 000001224 _____ C:\README_SOLVETHIS.txt
2024-11-26 20:29 - 2024-11-26 20:48 - 000001224 _____ C:\Users\user\AppData\Local\README_SOLVETHIS.txt
2024-11-26 20:29 - 2024-11-26 20:29 - 000000000 ____D C:\temp
2024-11-26 21:18 - 2021-04-04 06:46 - 000000000 __SHD C:\Users\user\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6
2024-11-26 20:29 - 2024-11-26 20:48 - 000001224 _____ () C:\Users\user\AppData\Local\README_SOLVETHIS.txt
HKLM\...\.com: mimicfile => notepad.exe "C:\Users\user\AppData\Local\README_SOLVETHIS.txt" <==== ВНИМАНИЕ
HKU\S-1-5-21-1104710570-4151097986-2512364482-1002\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

[Batnik]

При нажатии на кнопку "исправить"

Изменено 27 ноября, 2024 пользователем Batnik

[safety]

Попробуйте еще раз:

 

Копируем строки скрипта отсюда:

Start::

и до сюда (включительно)

End::

из браузера в буфер обмена,

(т.е. выделаем указанные строки скрипта и нажимаем Ctrl+C)

браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Изменено 27 ноября, 2024 пользователем safety

[Batnik]

Fixlog.txt

[safety]

Проверьте ЛС

 

[safety]

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.