mimic/n3wwv43 ransomware Шифровальщик zimmer 1488

[Xotatel]

Добрый день, люди дорогие! Особо не тешу себя иллюзиями, но вдруг. Словили шифровальщика zimmer 1488. Просим помощи в дешифровке. Либо ткните носом, если вдруг уже было что-то по нему. Прикладываем пару зашифрованных файлов с оригиналами. Пароль к архиву 665

Desktop.7z

[safety]

Добавьте так же логи FRST (FRST.txt и Addition.txt)+записку о выкупе

[Xotatel]

Addition.txt FRST.txt Decrypt_ZIMMER1488_info.txt

[safety]

Да, это Mimic:

Your decryption ID is ***MAyY[*]ZIMMER1488-****MAyY

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
2025-03-25 18:50 - 2024-11-15 01:32 - 000000000 __SHD C:\Users\qqq\AppData\Local\D4A4227A-D012-4CEA-21D3-0BAD0BF6CDED
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Xotatel]

"файл загружен, ссылка удалена."

 

Fixlog.txt

Изменено 3 апреля пользователем safety
файл загружен, ссылка удалена

[safety]

Без приватного ключа, которого у нас нет, расшифровка файлов невозможна по данному типу шифровальщика.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[Sannjas]

Эй!
У меня то же самое - zimmer 1488 зашифровал мои файлы на школьном компьютере. Никто не может помочь. Что мне нужно сделать? Никто не будет платить хакерам.
Я из польской школы, и единственное упоминание в Google о zimmer 1488 есть только на этом форуме.
Можете ли вы, пожалуйста, помочь мне в любом случае?

[safety]

4 hours ago, Sannjas said:

У меня то же самое - zimmer 1488 зашифровал мои файлы на школьном компьютере

Создайте новую тему в данном разделе, не пишите в чужой теме.

Добавьте несколько зашифрованных файлов + записку о выкупе в одном архиве без пароля + логи FRST согласно правилам.

«Порядок оформления запроса о помощи».