mimic/n3wwv43 ransomware Вирус шифровальщик kozanostra

[Aleks yakov]

Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)

Новая папка.zip

[safety]

Добавьте, так же логи FRST (FRST.txt, Addition.txt)+ записку о выкупе.

[Aleks yakov]

прикрепляю файлы

логи.zip

[safety]

Логи FRST нужны из FRST под Администратором.

Запущено с помощью Вера (ВНИМАНИЕ: Пользователь не является Администратором) на DESKTOP-BFA75JJ (Gigabyte Technology Co., Ltd. H410M H V3) (07-07-2025 11:31:09)

 

Без прав админа вы не сможете выполнить скрипт очистки.

[Aleks yakov]

присылаю логи с правами от админа с актуального устройства , машина на win 7

 Addition.zipFRST.txtAddition.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
2025-07-05 13:15 - 2025-07-05 13:45 - 000000000 ____D C:\temp
2025-07-05 21:09 - 2024-07-10 15:58 - 000000000 __SHD C:\Users\user-office\AppData\Local\1D4F026E-DB59-647A-72D2-3763F22A75A1
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Aleks yakov]

это не перепишет не затронет сами файлы которые подверглись шифрованию ?

Decrypt_KOZANOSTRA.txtи вот описание с актуальной машины

 

[safety]

15 минут назад, Aleks yakov сказал:

это не перепишет не затронет сами файлы которые подверглись шифрованию ?

Нет. Это удалит только папку, в которой размещены файлы шифровальщика.

15 минут назад, Aleks yakov сказал:

и вот описание с актуальной машины

Судя по этому файлу на второй машине был отдельный запуск шифровальщика, т.е. на двух машинах два разных ключа шифрования.

В таком случае, сделайте логи FRST и по актуальной машине.

----------

Если я правильно понял, что с первого устройства DESKTOP-BFA75JJ  мы пока не получили логи FRST с правами администратора. Получается, что запуски шифровальщика были на обоих устройствах.

Изменено 7 июля пользователем safety

[Aleks yakov]

получается да 
первая машина она не особо важна, там файлов нет,  мы ее не будем трогать , актуальная только вторая 
как раз таки логи от админа присылал по актуальной машине 
вот остальные данные

ссылку удалил, архив загрузил

 Fixlog.txt
 

Изменено 7 июля пользователем safety
ссылку удалил, архив загрузил

[safety]

Файл шифровальщика из карантина.

HEUR:Trojan-Ransom.Win32.Mimic.gen

A Variant Of Win32/Filecoder.Mimic.C

Trojan.Encoder.40979

https://www.virustotal.com/gui/file/1632ced36ba168dff018763eca8e41b5d0aef505a041c524b5eaa3ff8bf3bc8b?nocache=1

version: 7.x, extension: "KOZANOSTRA", note name: "Decrypt_KOZANOSTRA.txt, locker name: "svhost.exe", keys: 10374

Изменено 7 июля пользователем safety

[Aleks yakov]

 не совсем понял Вас это код к расшифровке?
как сам файл сможет помочь в данной ситуации ?

как мне можно восстановить данные зашифрованные? 

Изменено 7 июля пользователем Aleks yakov

[safety]

Это детект шифровальщика основными антивирусными вендорами.

К сожалению, с расшифровкой не сможем помочь. Нет у нас приватных ключей.

version: 7.x, extension: "KOZANOSTRA", note name: "Decrypt_KOZANOSTRA.txt, locker name: "svhost.exe", keys: 10374

Много ключей используется, при каждом запуске выбирается один из массива ключей.

 

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 7 июля пользователем safety

[Aleks yakov]

попробовал обратиться с стороннюю  фирму , они смогли расшифровать 2 файла  которые я им прислал , то есть они подобрали ключ из самого файла получается ?

[thyrex]

Это посредники, которые в доле со злодеями.

[safety]

15 минут назад, Aleks yakov сказал:

о есть они подобрали ключ из самого файла получается ?

Это стандартная процедура у злоумышленников (у них ваш ключ) расшифровать бесплатно два файла, чтобы показать что они могут расшифровать.

Так что ваша сторонняя фирма с вашими файлами скачками обращается к злоумышленникам, вам об этом не говорят, и делают вид что они могут расшифровать. За ваши деньги, они в лучшем случае выкупят дешифратор и передадут его вам. В худшем для вас случае, после оплаты вам пришлют нерабочий дешифратор или вообще перестанут выходить на связь.

 

Не рекомендуем обращаться к посредникам, которых сейчас пруд пруди. если горит желание выкупить дешифратор, делайте это напрямую, без посредников.

Изменено 7 июля пользователем safety