mimic/n3wwv43 ransomware Зашифрованы данные UVE! Помогите расшифровать!!!

[Oleg_krsk]

Здравия! Зашифрованы данные:

Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
Your data is encrypted by UVE
Your decryption ID is BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw*uve-BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw
Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
The only method of recovering files is to purchase decrypt tool and unique key for you.
If you want to recover your files, write us
1) eMail - cristi@mailum.com
2) Telegram - @cristi025 or https://t.me/cristi025

Attention!

Do not rename encrypted files. 
Do not try to decrypt your data using third party software - it may cause permanent data loss. 
We are always ready to cooperate and find the best way to solve your problem. 
The faster you write - the more favorable conditions will be for you. 

 

Помогите расшифровать!

Изменено 21 сентября пользователем Oleg_krsk

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Oleg_krsk]

Decrypt_UVE.txt ЗашифрованныеФайлы.zip

Здравия! Отправляю зашифрованные файлы в архиве и текстовый от вымогателей.

Логи анализа системы при помощи Farbar Recovery Scan Tool

Addition.txt FRST.txt

 

 

Систему еще не проверял! Стоит сейчас проверить или ждать?!

Если проверять то чем?! Cureit или KVRT?!

Изменено 21 сентября пользователем Oleg_krsk

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [svhost.exe] => C:\Users\Кирилл\AppData\Local\Decrypt_UVE.txt [975 2025-09-15] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-09-16 09:08 - 2022-06-13 07:42 - 000000000 __SHD C:\Users\Кирилл\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Oleg_krsk]

ссылка на карантин FRST:

https://disk.yandex.ru/d/6saLJMXZTW2apg

 

 

Fixlog.txt

На всякий случай еще одна ссылка:

https://disk.yandex.ru/d/cYexjtqi5HUncw

 

Антивирусом можно проверять или позже?!

[safety]

Fixlog.tzt еще добавьте. проверку системы можно сделать в удобное для вас время.

+

Проверьте ЛС.

[Oleg_krsk]

Систему еще не проверял! Стоит сейчас проверить или ждать?!

Если проверять то чем?! Cureit или KVRT?!

Fixlog.txt

[safety]

Проверьте в KVRT

[Oleg_krsk]

13 минут назад, safety сказал:

Fixlog.tzt еще добавьте. проверку системы можно сделать в удобное для вас время.

+

Проверьте ЛС.

"Проверьте ЛС" - это что? Личные Сообщения?

2 минуты назад, safety сказал:

Проверьте в KVRT

Файлы в карантин? Они вам могут понадобиться?

Изменено 21 сентября пользователем Oleg_krsk

[safety]

да, карантиньте, возможно что-то еще осталось после того все могло самоудалиться после завершения шифрования.

[Oleg_krsk]

В корне диска С:\ два файлика:

 

нужны будут?!

[safety]

по факту, карантин нам нужен только из этой папки

 

2025-09-16 09:08 - 2022-06-13 07:42 - 000000000 __SHD C:\Users\Кирилл\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D

 

но эта папка уже очищена:

 

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено 21 сентября пользователем safety