mimic/n3wwv43 ransomware KOZANOSTRA

[nogaev21]

Добрый день! Столкнулся с такой же проблемой подскажите какие действия нужно предпринять? Заранее Спасибо!

Сообщение от модератора kmscom

Сообщение перенесено из темы KOZANOSTRA шифровальщик

[kmscom]

выполните указания в теме «Порядок оформления запроса о помощи».

Новую тему создавать не нужно, продолжайте в этой.

[nogaev21]

увидел сегодня на одной из удаленных машин сетевой ярлык зашифрованный KOZANOSTRA. плюс заражены все файлы nas

Addition.txt FRST.txt Shortcut.txt письмо.txt.rar файлы.rar

 

Сообщение от модератора thyrex

Темы объединены

[safety]

По очистке системы:

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-07-05 11:53 - 2025-07-05 11:53 - 000000986 _____ C:\Decrypt_KOZANOSTRA.txt
2025-07-07 08:15 - 2023-10-06 19:09 - 000000000 __SHD C:\Users\Kassa\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F
2025-07-05 11:53 - 2025-07-05 11:53 - 000000000 ____D C:\temp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

End::

Изменено 7 июля пользователем safety

[nogaev21]

Извеняюсь что дал не полную инфу машина виртуальная hyper-v. При копировании скрипта в корне диска создается файл но ребута нет так как и в пуске нет и cmd этого не делает. Как быть в такой ситуации?

 

[safety]

Если Fixlog.txt был создан, значит скрипт выполнился, + проверьте создана папка C:\FRST\Quarantine или нет. (Перезагрузку системы, сами сделаете, когда будет удобно.)

Изменено 7 июля пользователем safety

[nogaev21]

архив загружен, ссылка удалена

 

 

Fixlog.txt

Изменено 7 июля пользователем safety
архив загружен, ссылка удалена

[safety]

Очистка выполнена корректно.

Если систему сканировали Курейт или KVRT, добавьте логи сканирования в архиве, без пароля

Изменено 7 июля пользователем safety

[nogaev21]

cureit.rar

[safety]

уже все зачищено.

There are no infected objects detected

Я имел ввиду, что возможно что вы до того, как сделать логи FRST уже сканировали в Курейт или KVRT.

 

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);