mimic/n3wwv43 ransomware Зашифровали компьютер

[Reshat]

Добрый день!Зашифровали компьютер с файлами пишут:

Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
Your data is encrypted by KOZANOSTRA
Your decryption ID is <ID>*KOZANOSTRA-<ID>
Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
The only method of recovering files is to purchase decrypt tool and unique key for you.
If you want to recover your files, write us
1) eMail - vancureez@tuta.io
2) Telegram - @DataSupport911 or https://t.me/DataSupport911

Attention!

Do not rename encrypted files. 
Do not try to decrypt your data using third party software - it may cause permanent data loss. 
We are always ready to cooperate and find the best way to solve your problem. 
The faster you write - the more favorable conditions will be for you. 
Our company values its reputation. We give all guarantees of your files decryption.

 

Файлы скана прикрепляю к сообщению.

Addition.txt FRST.txt

Изменено 18 мая пользователем safety

[safety]

Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе.

Можно в одном архиве, без пароля.

[4tetree]

Здравствуйте, у меня та же проблема

[safety]

5 минут назад, 4tetree сказал:

у меня та же проблема

Создайте, пожалуйста, новое сообщение в данном разделе, добавьте необходимые файлы и логи по правилам.

«Порядок оформления запроса о помощи».

Не пишите в чужом разделе, это запрещено правилами.

[Reshat]

В архиве зашифрованные файлы в текстовом записка

Decrypt_KOZANOSTRA.txt Новая папка.rar

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [svhost.exe] => C:\Users\Админ\AppData\Local\Decrypt_KOZANOSTRA.txt [999 2025-05-16] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
HKU\S-1-5-21-478005249-369829830-3194613423-1001\...\Run: [MicrosoftEdgeAutoLaunch_F11E01D664179919A38AF7D0333D7D49] => "C:\Program Files
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-05-16 13:27 - 2025-05-16 13:27 - 000000000 ____D C:\temp
2025-05-16 13:24 - 2025-05-16 13:24 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2025-05-16 13:24 - 2025-05-16 13:24 - 000000000 ____D C:\ProgramData\IObit
2025-05-16 13:24 - 2025-05-16 13:24 - 000000000 ____D C:\Program Files (x86)\IObit
2025-05-16 13:23 - 2025-05-16 13:28 - 000002090 _____ C:\Users\Админ\Desktop\Process Hacker 2.lnk.KOZANOSTRA-IM090kHOIli-qvo1ada1B0xehQrA0TVBueFHRCUV8QQ
2025-05-16 13:23 - 2025-05-16 13:23 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-05-16 13:23 - 2025-05-16 13:23 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-05-16 14:39 - 2024-06-05 00:54 - 000000000 __SHD C:\Users\Админ\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.