mimic/n3wwv43 ransomware Зашифровали компьютер

18 мая

Добрый день!Зашифровали компьютер с файлами пишут:

ссылка удалена ссылка на скачивание двух зараженных файлов

Изменено 18 мая пользователем safety
ссылка удалена

18 мая

Добавьте логи FRST (Addition.txt и FRST.txt) + записку о выкупе в виде файла.

Файлы и логи добавляем через вложение в сообщение. Размер файлов должен быть не более 2-3 Мб, Файлы размером под !Гб нам не нужны.

Изменено 18 мая пользователем safety

18 мая

Addition_18-05-2025 08.16.23.txt FRST_18-05-2025 08.15.55.txt

18 мая

Зашифрованные файлы в архиве,без пароля добавляем через вложение в сообщение. Размер файлов должен быть не более 2-3 Мб, Файлы размером под !Гб нам не нужны.

18 мая

файлы.zip

18 мая

+ файл записки о выкупе

18 мая

файл.zip

18 мая

Такой файл нужен, в незашифрованном виде.

2025-05-17 21:45 - 2025-05-17 21:45 - 000000999 _____ C:\Users\USER_IMM_SYSTEM\AppData\Local\Decrypt_KOZANOSTRA.txt

или отсюда:

2025-05-17 21:45 - 2025-05-18 07:38 - 000000999 _____ C:\Decrypt_KOZANOSTRA.txt

Изменено 18 мая пользователем safety

18 мая

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F\svhost.exe <3>
(C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F\svhost.exe ->) (voidtools -> voidtools)
HKLM\...\Run: [svhost] => C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F\svhost.exe [2469376 2024-11-13] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3624019045-215478403-1344707624-1000\...\Run: [YandexBrowserAutoLaunch_B64B7D5D07784CD66F00CA43360BB68B] =>
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F\svhost.exe
2025-05-17 21:45 - 2025-05-18 07:38 - 000000999 _____ C:\Decrypt_KOZANOSTRA.txt
2025-05-18 08:15 - 2022-01-05 23:17 - 000000000 __SHD C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

18 мая

Decrypt_KOZANOSTRA.txt

18 мая

Хорошо, выполните скрипт очистки.

Шифровальщик судя по логам еще в процессах, возможно шифрует другие устройства в сети, до которых дотянулся.

18 мая

Fixlog.txt

https://disk.yandex.ru/d/H9YPAObUSJxHDQ вот

18 мая

Файл и папку вручную удалили? в скрипте они не обнаружены.

Цитата

"C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F\svhost.exe" => не найдено
"C:\Decrypt_KOZANOSTRA.txt" => не найдено
"C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F" => не найдено

18 мая

Ничего вручную не удаляли

Вы сможете мне помочь? Или вы еще смотрите?

18 мая

С расшифровкой файлов по данному типу шифровальщиков не сможем помочь.

теперь, когда ваши файлы был зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

+

Проверьте ЛС.

mimic/n3wwv43 ransomware Зашифровали компьютер

Рекомендуемые сообщения

4tetree

safety

4tetree

safety

4tetree

safety

4tetree

safety

safety

4tetree

safety

4tetree

safety

4tetree

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum