mimic/n3wwv43 ransomware Зашифровали компьютер

[4tetree]

Добрый день!Зашифровали компьютер с файлами пишут:

 

ссылка удалена ссылка на скачивание двух зараженных файлов

Изменено 18 мая пользователем safety
ссылка удалена

[safety]

Добавьте логи FRST (Addition.txt и FRST.txt) + записку о выкупе в виде файла.

 

Файлы и логи добавляем через вложение в сообщение. Размер файлов должен быть не более 2-3 Мб, Файлы размером под !Гб нам не нужны.

Изменено 18 мая пользователем safety

[4tetree]

Addition_18-05-2025 08.16.23.txt FRST_18-05-2025 08.15.55.txt

[safety]

Зашифрованные файлы в архиве,без пароля добавляем через вложение в сообщение. Размер файлов должен быть не более 2-3 Мб, Файлы размером под !Гб нам не нужны.

[4tetree]

файлы.zip

[safety]

+ файл записки о выкупе

[4tetree]

файл.zip

[safety]

Такой файл нужен, в незашифрованном виде.

2025-05-17 21:45 - 2025-05-17 21:45 - 000000999 _____ C:\Users\USER_IMM_SYSTEM\AppData\Local\Decrypt_KOZANOSTRA.txt

или отсюда:

2025-05-17 21:45 - 2025-05-18 07:38 - 000000999 _____ C:\Decrypt_KOZANOSTRA.txt

 

Изменено 18 мая пользователем safety

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F\svhost.exe <3>
(C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F\svhost.exe ->) (voidtools -> voidtools)
HKLM\...\Run: [svhost] => C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F\svhost.exe [2469376 2024-11-13] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3624019045-215478403-1344707624-1000\...\Run: [YandexBrowserAutoLaunch_B64B7D5D07784CD66F00CA43360BB68B] =>
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F\svhost.exe
2025-05-17 21:45 - 2025-05-18 07:38 - 000000999 _____ C:\Decrypt_KOZANOSTRA.txt
2025-05-18 08:15 - 2022-01-05 23:17 - 000000000 __SHD C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[4tetree]

Decrypt_KOZANOSTRA.txt

[safety]

Хорошо, выполните скрипт очистки.

Шифровальщик судя по логам еще в процессах, возможно шифрует другие устройства в сети, до которых дотянулся.

 

[4tetree]

Fixlog.txt

 

https://disk.yandex.ru/d/H9YPAObUSJxHDQ вот

[safety]

Файл и папку вручную удалили? в скрипте они не обнаружены.

Цитата

"C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F\svhost.exe" => не найдено
"C:\Decrypt_KOZANOSTRA.txt" => не найдено
"C:\Users\User\AppData\Local\EB5A0E64-B4C8-AE41-3E62-7CDFD86EE06F" => не найдено

 

[4tetree]

Ничего вручную не удаляли

 

 

Вы сможете мне помочь? Или вы еще смотрите?

[safety]

С расшифровкой файлов по данному типу шифровальщиков не сможем помочь.

 

теперь, когда ваши файлы был зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

+

Проверьте ЛС.