mimic/n3wwv43 ransomware Данные зашифрованы UVE. Просят деньги за расшифровку. Что делать?

29 августа

28.08.25г. на компьютере с операционной системой Windows Server 2012 R2 Standart все файлы открывались.

29.08.25г. в 10:20 зашли в систему. Все файлы были зашифрованы. При открытии любого из них, открывается "Decrypt_UVE - Блокнот" с текстом:

"Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
Your data is encrypted by UVE
Your decryption ID is ****
Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
The only method of recovering files is to purchase decrypt tool and unique key for you.
If you want to recover your files, write us
1) eMail - cristi@mailum.com
2) Telegram - @cristi025 or https://t.me/cristi025

Attention!

Do not rename encrypted files.
Do not try to decrypt your data using third party software - it may cause permanent data loss.
We are always ready to cooperate and find the best way to solve your problem.
The faster you write - the more favorable conditions will be for you.
Our company values its reputation. We give all guarantees of your files decryption.

Написал им сообщение в Телеграмм. Получил ответ, что за 5000$ готовы расшифровать. Позже сделали скидку))) и предложили за 3500$ расшифровать. Больше сообщений не поступало.

Подскажите, пожалуйста, возможно ли расшифровать файлы?

Shortcut.txt Зашифрованные файлы.rar Addition.txt FRST.txt

Изменено 29 августа пользователем safety

29 августа

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [svhost.exe] => C:\Users\Администратор.PHILIP\AppData\Local\Decrypt_UVE.txt [975 2025-08-29] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-08-29 18:29 - 2022-06-13 03:42 - 000000000 __SHD C:\Users\Администратор.PHILIP\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D
2025-08-29 18:23 - 2019-11-26 10:17 - 000000000 ____D C:\Temp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Воскресенье в 19:02

Хорошо. Сделаем

Понедельник в 00:50

Ждем. Fixlog.txt и карантин FRST.

13 часов назад

Добрый вечер!

Ссылка

архив загружен, ссылка удалена. на карантин и Fixlog.txt

Fixlog.txt

Изменено 9 часов назад пользователем safety
архив загружен, ссылка удалена

9 часов назад

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

+ проверьте ЛС.

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 7 часов назад пользователем safety

3 часа назад

Добрый день!

Спасибо за информацию. Меры примем.

Планируется ли в будущем разработка дешифровщика к данному типу?

3 часа назад

Дешифратор есть, но к нему необходимы приватные ключи, которыми было выполнено шифрование. Без ключей расшифровка файлов после Mimic невозможна. И универсального ключа нет, который подошел бы ко всем случаям шифрования Mimic.

mimic/n3wwv43 ransomware Данные зашифрованы UVE. Просят деньги за расшифровку. Что делать?

Рекомендуемые сообщения

Филипцев

safety

Филипцев

safety

Филипцев

safety

Филипцев

safety

Пожалуйста, войдите, чтобы комментировать

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum