mimic/n3wwv43 ransomware Вирус шифровальщик, помогите расшифровать файлы. Расширение WwaNPUAD5F4uG5ySBCut6Zug6ICEkhGSUcX_eK8Nlk

[Gulzat]

Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо.

Addition.txt FRST.txt virus.7z

[safety]

Скорее всего запуск шифровальщика был на другом устройстве. На данном устройстве нет следов запуска, кроме зашифрованных файлов  на общем ресурсе.

 

Проверяйте на другим ПК, где мог быть запуск шифровальщика.  В папке c:\temp должен быть файл session.tmp

Логи FRST нужны с устройства, где был запуск шифровальщика.

[Gulzat]

Благодарю за ответ. 
Мог ли удалиться лог запуска из за чистки пк kaspersky removal tool?

и еще антивирус defender встроенный виндоус нашел три угрозы

[safety]

если систему чистили в KVRT добавьте папку reports в архиве без пароля. Эта папка должна быть  в каталоге

C:\KVRT2020_DATA

2025-09-12 22:31 - 2025-09-12 22:31 - 000000000 ____D C:\KVRT2020_Data

 

То что было найдено в Windef не связано с шифровальщиком.

 

И это проверьте:

Цитата

В папке c:\temp должен быть файл session.tmp

врядли антивирусы будут реагировать на этот файл. А он является индикатором запуска шифровальщика в системе.

Изменено 13 сентября пользователем safety

[Gulzat]

В 13.09.2025 в 05:16, safety сказал:

Логи FRST нужны с устройства, где был запуск шифровальщика.

Файлы загрузили 

FRST.txt Addition.txt

[safety]

Судя по логам на этом устройстве не было запуска шифровальщиков. Нет зашифрованных файлов.

Проверяйте на другим ПК, где мог быть запуск шифровальщика.  В папке c:\temp должен быть файл session.tmp

Изменено 15 сентября пользователем safety

[Gulzat]

Здравствуйте! Прикрепляю файлы с зараженного компьютера, где был запущен шифровальщик. Файл session.tmp присутствует.

FRST.txt Addition.txt