mimic/n3wwv43 ransomware Прошу помочь с расшифровкой файлов, вероятно elpaco-team

22 сентября

Здравствуйте, все файлы на рабочем сервере зашифрованы, выглядят примерно вот так:

Предыдущий админ бэкапов не делал

PUBID_1417896-20210406_ВыгрузкаЗагрузкаИзбранного.epf.WWWWW-vuSRP-NeSC-8GVhkGC2CoADRAf6mTQYNKCc4TqWbgzY

Прикладываю лог frst и архив с файлами

Addition.txt encrypted_samples.7z FRST.txt

23 сентября

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [xgame.exe] => C:\Users\Администратор.TSRV\AppData\Local\How-to-decrypt.txt [980 2025-09-19] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
2025-09-19 22:59 - 2025-09-19 22:59 - 000000000 ____D C:\Users\Администратор.TSRV\AppData\Roaming\Process Hacker 2
2025-09-19 22:58 - 2025-09-20 03:44 - 000000980 _____ C:\How-to-decrypt.txt
2025-09-19 22:56 - 2025-09-19 23:13 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-09-19 22:56 - 2025-09-19 22:56 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-09-20 09:37 - 2023-12-19 11:58 - 000000000 __SHD C:\Users\Администратор.TSRV\AppData\Local\0457A684-7AA3-7FD1-A450-4BD23E9A0FBD
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

23 сентября

Подскажите, пожалуйста, есть ли шанс достать файлы? Диск с системой вытащен и сохранен.

Новая система поставлена на новый диск.

То есть, старую можно загрузить, если нужно, но она не нужна как система.

Подскажите, пожалуйста, есть ли шанс восстановить файлы?

23 сентября

Эту папку

2025-09-20 09:37 - 2023-12-19 11:58 - 000000000 __SHD C:\Users\Администратор.TSRV\AppData\Local\0457A684-7AA3-7FD1-A450-4BD23E9A0FBD

заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь

24 сентября

Добрый вечер!

файл загружен, ссылка удалена.

Изменено 24 сентября пользователем safety
файл загружен, ссылка удалена.

24 сентября

Спасибо. Эту папку можно удалить. Она содержит файлы шифровальщика.

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

mimic/n3wwv43 ransomware Прошу помочь с расшифровкой файлов, вероятно elpaco-team

Рекомендуемые сообщения

Dmitry.K

safety

Dmitry.K

safety

Dmitry.K

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum