mimic/n3wwv43 ransomware Вирус шифровальщик kozanostra

7 июля

Здравствуйте шифровальщик заразил 2 пк в локальной сети (kozanostra)

Новая папка.zip

7 июля

Добавьте, так же логи FRST (FRST.txt, Addition.txt)+ записку о выкупе.

7 июля

прикрепляю файлы

логи.zip

7 июля

Логи FRST нужны из FRST под Администратором.

Запущено с помощью Вера (ВНИМАНИЕ: Пользователь не является Администратором) на DESKTOP-BFA75JJ (Gigabyte Technology Co., Ltd. H410M H V3) (07-07-2025 11:31:09)

Без прав админа вы не сможете выполнить скрипт очистки.

7 июля

присылаю логи с правами от админа с актуального устройства , машина на win 7

Addition.zip FRST.txt Addition.txt

7 июля

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
2025-07-05 13:15 - 2025-07-05 13:45 - 000000000 ____D C:\temp
2025-07-05 21:09 - 2024-07-10 15:58 - 000000000 __SHD C:\Users\user-office\AppData\Local\1D4F026E-DB59-647A-72D2-3763F22A75A1
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

7 июля

это не перепишет не затронет сами файлы которые подверглись шифрованию ?

Decrypt_KOZANOSTRA.txtи вот описание с актуальной машины

7 июля

15 минут назад, Aleks yakov сказал:

это не перепишет не затронет сами файлы которые подверглись шифрованию ?

Нет. Это удалит только папку, в которой размещены файлы шифровальщика.

15 минут назад, Aleks yakov сказал:

и вот описание с актуальной машины

Судя по этому файлу на второй машине был отдельный запуск шифровальщика, т.е. на двух машинах два разных ключа шифрования.

В таком случае, сделайте логи FRST и по актуальной машине.

----------

Если я правильно понял, что с первого устройства DESKTOP-BFA75JJ мы пока не получили логи FRST с правами администратора. Получается, что запуски шифровальщика были на обоих устройствах.

Изменено 7 июля пользователем safety

7 июля

получается да
первая машина она не особо важна, там файлов нет, мы ее не будем трогать , актуальная только вторая
как раз таки логи от админа присылал по актуальной машине
вот остальные данные

ссылку удалил, архив загрузил

Fixlog.txt

Изменено 7 июля пользователем safety
ссылку удалил, архив загрузил

7 июля

Файл шифровальщика из карантина.

HEUR:Trojan-Ransom.Win32.Mimic.gen

A Variant Of Win32/Filecoder.Mimic.C

Trojan.Encoder.40979

https://www.virustotal.com/gui/file/1632ced36ba168dff018763eca8e41b5d0aef505a041c524b5eaa3ff8bf3bc8b?nocache=1

version: 7.x, extension: "KOZANOSTRA", note name: "Decrypt_KOZANOSTRA.txt, locker name: "svhost.exe", keys: 10374

Изменено 7 июля пользователем safety

7 июля

не совсем понял Вас это код к расшифровке?
как сам файл сможет помочь в данной ситуации ?

как мне можно восстановить данные зашифрованные?

Изменено 7 июля пользователем Aleks yakov

7 июля

Это детект шифровальщика основными антивирусными вендорами.

К сожалению, с расшифровкой не сможем помочь. Нет у нас приватных ключей.

version: 7.x, extension: "KOZANOSTRA", note name: "Decrypt_KOZANOSTRA.txt, locker name: "svhost.exe", keys: 10374

Много ключей используется, при каждом запуске выбирается один из массива ключей.

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 7 июля пользователем safety

7 июля

попробовал обратиться с стороннюю фирму , они смогли расшифровать 2 файла которые я им прислал , то есть они подобрали ключ из самого файла получается ?

7 июля

Это посредники, которые в доле со злодеями.

7 июля

15 минут назад, Aleks yakov сказал:

о есть они подобрали ключ из самого файла получается ?

Это стандартная процедура у злоумышленников (у них ваш ключ) расшифровать бесплатно два файла, чтобы показать что они могут расшифровать.

Так что ваша сторонняя фирма с вашими файлами скачками обращается к злоумышленникам, вам об этом не говорят, и делают вид что они могут расшифровать. За ваши деньги, они в лучшем случае выкупят дешифратор и передадут его вам. В худшем для вас случае, после оплаты вам пришлют нерабочий дешифратор или вообще перестанут выходить на связь.

Не рекомендуем обращаться к посредникам, которых сейчас пруд пруди. если горит желание выкупить дешифратор, делайте это напрямую, без посредников.

Изменено 7 июля пользователем safety

mimic/n3wwv43 ransomware Вирус шифровальщик kozanostra

Рекомендуемые сообщения

Aleks yakov

safety

Aleks yakov

safety

Aleks yakov

safety

Aleks yakov

safety

Aleks yakov

safety

Aleks yakov

safety

Aleks yakov

thyrex

safety

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum