mimic/n3wwv43 ransomware Шифровальщик forumkasperskyclubru@msg.ws

[Ired]

Здравствуйте.
Поймали эту заразу.
К сожалению, перед обращением на форум прошелся утилитами Kaspersky Rescue Disk и DrWeb LiveDisk.
Письма от злоумышленников не обнаружил, возможно, найдется на еще одной, попавшей под удар, машине.
Логи FRST прилагаю. Также во вложении архив с парой зашифрованных файлов под паролем virus2025
Прошу посильной помощи.

FRST_logs.7z EncryptedFiles.7z

Изменено 7 часов назад пользователем Ired

[safety]

Сканирование системы выполняли с помощью Cureit, KVRT или штатным антивирусом? Можете добавить логи сканирования и отчеты в архиве без пароля?

Возможно что шифрование было на другом ПК, а на этом были затронуты только общие папки.

Проверьте на другом устройстве есть ли в папке C:\temp файл session.tmp

[Ired]

Сперва загрузился с флэшки с KRD и прогнал KVRT, затем на эту же флэшку залил LiveDisk, загрузился с нее и прогнал CureIt. В результате работы данных утилит на диске С появились 2 папки: "KRD2024_Data" и "DrWeb Quarantine". Сбросил архив на https://disk.yandex.ru/d/5WlH20wftI5iVQ
Если нужны какие-то другие логи - сообщите, где их искать. Спасибо!

[safety]

Хорошо, немного позже отвечу.

[safety]

да уж, судя по логу KRD разворошили осинное гнездо.

Имеет смысл прогнать еще в KVRT из нормального режима.

детект Backdoor.Win32.DarkKomet.hqxy может быть так же связан с файловым заражением исполняемых файлов.

После проверки в KVRT сделайте дополнительно логи FRST