mimic/n3wwv43 ransomware KOZANOSTRA зашифровано

[Media-Box]

Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь

Файлы.zip

 

Сообщение от модератора kmscom

Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК

[Media-Box]

и файлы второго компьютера

Файлы 2го компа.zip

[safety]

Добавьте так же логи FRST с обоих устройств. Возможно запуск был только на одном из них.

 

[Media-Box]

4 часа назад, Media-Box сказал:

Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь

Файлы.zip 2.19 MB · 1 загрузка

 

Сообщение от модератора kmscom

Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК

 

Логи компа1.rar

4 часа назад, Media-Box сказал:

и файлы второго компьютера

Файлы 2го компа.zip 909.3 kB · 1 загрузка

 

Логи компа2.rar

[safety]

По очистке системы по первому ПК.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
(C:\Program Files\Total Commander 9.22\TOTALCMD64.EXE ->) (Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <19>
(cmd.exe ->) (www.xmrig.com) [Файл не подписан] C:\ProgramData\TEMP\eset.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 AMDRyzenMasterDriverV22; \??\C:\Program Files\AMD\RyzenMaster\bin\AMDRyzenMasterDriver.sys [X]
S3 cpuz130; \??\C:\Users\Artem\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X] <==== ВНИМАНИЕ
S3 CtxHda; \SystemRoot\system32\drivers\CtxHda.sys [X]
S3 CtxHdb; \SystemRoot\system32\DRIVERS\Ctxhdb.sys [X]
S3 NEProtect; \??\D:\Games\ONCE_HUMAN\NEProtect.sys [X]
2025-06-21 04:09 - 2025-06-21 04:09 - 000000000 ____D C:\ProgramData\TEMP
2025-06-21 00:43 - 2025-06-21 00:43 - 000000000 ____D C:\Users\Artem\AppData\Roaming\Process Hacker 2
2025-06-21 00:42 - 2025-06-21 00:42 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-06-21 00:42 - 2025-06-21 00:42 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-06-21 12:58 - 2023-10-07 00:09 - 000000000 __SHD C:\Users\Artem\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

По второму ПК нет следов запуска шифровальщика, возможно пошифрованы были только доступные шары по сети.

[Media-Box]

2 часа назад, safety сказал:

По очистке системы по первому ПК.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
(C:\Program Files\Total Commander 9.22\TOTALCMD64.EXE ->) (Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <19>
(cmd.exe ->) (www.xmrig.com) [Файл не подписан] C:\ProgramData\TEMP\eset.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 AMDRyzenMasterDriverV22; \??\C:\Program Files\AMD\RyzenMaster\bin\AMDRyzenMasterDriver.sys [X]
S3 cpuz130; \??\C:\Users\Artem\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X] <==== ВНИМАНИЕ
S3 CtxHda; \SystemRoot\system32\drivers\CtxHda.sys [X]
S3 CtxHdb; \SystemRoot\system32\DRIVERS\Ctxhdb.sys [X]
S3 NEProtect; \??\D:\Games\ONCE_HUMAN\NEProtect.sys [X]
2025-06-21 04:09 - 2025-06-21 04:09 - 000000000 ____D C:\ProgramData\TEMP
2025-06-21 00:43 - 2025-06-21 00:43 - 000000000 ____D C:\Users\Artem\AppData\Roaming\Process Hacker 2
2025-06-21 00:42 - 2025-06-21 00:42 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-06-21 00:42 - 2025-06-21 00:42 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-06-21 12:58 - 2023-10-07 00:09 - 000000000 __SHD C:\Users\Artem\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

По второму ПК нет следов запуска шифровальщика, возможно пошифрованы были только доступные шары по сети.

Выполнил
файл загружен, ссылка удалена

 

Fixlog.txt

 

Изменено 21 июня пользователем safety

[safety]

Майнер сами загружали?

eset.exe:

ESET-NOD32 A Variant Of Win64/CoinMiner.IZ Potentially

Kaspersky Trojan.Win32.Miner.batxr

DrWeb Tool.BtcMine.2615

https://www.virustotal.com/gui/file/2473ad9644049206ee83781def7bcbde8782166ce3ea09abcaea2c51cc17864c

 

Расшифровка по данному типу шифровальщика, к сожалению невозможна без приватного ключа.

+

Проверьте ЛС.

 

[Media-Box]

нет. я не загружал сам майнер. У меня стоит платный антивирус Про32 на обоих компьютерах

Простите, я не совсем понимаю. То есть расшифровать мои файлы не возможно??

 

Сообщение от модератора Mark D. Pearlstone

Не цитируйте полностью сообщения, на которые отвечаете.

 

 

[safety]

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[Media-Box]

 

 

4 часа назад, safety сказал:

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Боже😪 это ужасная новость. Ведь были зашифрованы драгоценные файлы фотографий и документов, которые мне очень нужны. Также были зашифрованы файлы фильмов, с которыми я должен выходить в эфир. Это крах для моего канала. Есть ли какие то идеи, кто может мне помочь расшифровать мои файлы?

Изменено 22 июня пользователем safety

[safety]

Идеи простые.

Или восстановить данные из архивов, которые должны быть у вас, раз  на сервере хранятся драгоценные вещи.

Или восстановить необходимые данные с нуля. И принять к сведению и в работу рекомендации, как защитить ваши данные от новых атак.

Изменено 22 июня пользователем safety