mimic/n3wwv43 ransomware Файлы зашифрованы с расширением Encrypted

[SatanicPanzer]

Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю

FRST.txt 1.zip

[Sandor]

Файл Addition.txt тоже добавьте, пожалуйста.

[safety]

+

Систему уже сканировали в Cureit или KVRT? Добавьте логи сканирования в архиве без пароля.

 

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [lucky_john.exe] => C:\Users\Администратор\AppData\Local\How-to-decrypt.txt [1454 2025-07-19] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your PC.
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-07-19 14:53 - 2025-07-19 14:53 - 000000000 ____D C:\temp
2025-07-19 14:50 - 2025-07-19 14:50 - 000000000 ____D C:\Users\Администратор\Desktop\!logs
2025-07-19 14:50 - 2022-06-20 17:57 - 000000811 _____ C:\Users\Администратор\Desktop\!start.cmd
2025-07-19 14:47 - 2025-07-19 14:47 - 000000000 ____D C:\Users\Администратор\Desktop\netSCAN
2025-07-19 15:54 - 2024-02-05 17:24 - 000000000 __SHD C:\Users\Администратор\AppData\Local\51271509-366D-30C9-038E-A0FA16B1DDED
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 27 июля пользователем safety