mimic/n3wwv43 ransomware enkacrypt Mimic/Pay2Key Ransomware

[Carbamazepine]

Всем привет, постигла участь один из компьютеров подхватить enkacrypt. 

Имеет смысл попытаться спасти систему? Установлен kaspersky premium.

Пароль на архив virus - там ransom-нота и 2 примера зашифрованных файлов. 

 

Addition.txt FRST.txt example.zip

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {2E3B1543-AECC-436D-81DD-D9848D90926D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Нет файла <==== ВНИМАНИЕ
Task: {3A983AEE-F0BF-4B08-B3A0-790A1DDB682C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Нет файла <==== ВНИМАНИЕ
Task: {54B125CC-A914-4BE2-83EF-C4C1188F2121} - \WPD\SqmUpload_S-1-5-21-419821804-2982105172-1495423715-1011 -> Нет файла <==== ВНИМАНИЕ
Task: {62D436A1-1331-4D73-8100-A0E58EBA92C0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Нет файла <==== ВНИМАНИЕ
Task: {6B80A826-6F93-4E24-8A99-9891ACDFD07B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Нет файла <==== ВНИМАНИЕ
Task: {88035133-CFCF-4596-9972-7BDEF2CCF600} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Нет файла <==== ВНИМАНИЕ
Task: {8928AB16-EFCF-4D6C-8AD7-C6EFAA6EAB5B} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {91294896-E4D8-4EBC-9325-C266A4AB74BC} - \WPD\SqmUpload_S-1-5-21-419821804-2982105172-1495423715-1012 -> Нет файла <==== ВНИМАНИЕ
Task: {94743855-B597-42A2-B907-4B7CC666DA14} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Нет файла <==== ВНИМАНИЕ
Task: {95769BE3-FA70-4D86-9C00-F8D232B7333B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Нет файла <==== ВНИМАНИЕ
Task: {9F8EEE0F-C18B-411B-9D4C-CF9AE95C0083} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Нет файла <==== ВНИМАНИЕ
Task: {A673967B-FD3D-4B2D-A648-610CE699F196} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Нет файла <==== ВНИМАНИЕ
Task: {AB9E7598-29DB-4F8B-9C0A-3EA67D119CFB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Нет файла <==== ВНИМАНИЕ
Task: {B144EDC2-A605-485E-B174-23CB71A0F4D3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Нет файла <==== ВНИМАНИЕ
Task: {D3388F59-6371-4B08-9593-9384E2ED24C4} - \WPD\SqmUpload_S-1-5-21-419821804-2982105172-1495423715-1001 -> Нет файла <==== ВНИМАНИЕ
2025-09-27 11:31 - 2022-01-16 05:14 - 000000000 __SHD C:\Users\Elena\AppData\Local\A830A994-1E61-805B-532D-74E13170897A
2025-09-24 21:58 - 2015-08-06 18:16 - 000000000 ____D C:\Temp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

[Carbamazepine]

1 час назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

 

Спасибо. Fixlog.txt во вложении, а папка Quarantine не была создана при проверке. 

Fixlog.txt

[safety]

Вообще то FRST карантинит все файлы, которые удаляются.

Вот именно в это место.

C:\FRST\Quarantine

 

 

Изменено 30 сентября, 2025 пользователем safety

[Carbamazepine]

2 часа назад, safety сказал:

Вообще то FRST карантин все файлы, которые удаляются.

Вот именно в это место.

C:\FRST\Quarantine

 

 

Нашел папку, думал там же где и лог создается.

Quarantine1.7z

[safety]

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);