mimic/n3wwv43 ransomware Шифровальщик зашифровал все файлы на ПК

[Salien]

Шифровальщик зашифровал все файлы на ПК, файлы имеют расширение .elpy и после него ID 

[andrew75]

Правила оформления запроса о помощи

[safety]

1 час назад, Salien сказал:

Шифровальщик зашифровал все файлы на ПК, файлы имеют расширение .elpy и после него ID 

Напишите, когда по времени это произошло. Шифрование *.elpy, если у вас действительно случился Phobos, было более двух лет назад. Добавьте несколько зашифрованных файлов в архиве без пароля + записку о выкупе, если сохранилась.

Изменено 13 января пользователем safety

[Salien]

12.01.2026 через RDP подключение насколько я понимаю к нам подключился человек и зашифровал файлы.

files.zip

[safety]

Это все таки не Phobos, а Mimic

Цитата

Your decryption ID is -PvI48raOiB***O6ko*elpy--PvI48***O6ko

 

Подготовьте логи анализа из зашифрованной системы при помощи Farbar Recovery Scan Tool

Изменено 14 января пользователем safety

[Salien]

Вот результаты сканирования программы FRST

FRST.txt Addition.txt FRST.zip

[safety]

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [000_PP0_100-43.exe] => C:\Users\1C server\AppData\Local\DECRYPT_FILES.txt [977 2026-01-12] () [Файл не подписан]
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
HKU\S-1-5-21-2021618006-981056620-1442861240-1001\...\Run: [YandexBrowserAutoLaunch_3A1CEEF35D2BD9B0EE6A97871E7F0D10] => "C:\Users\Оператор1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-2021618006-981056620-1442861240-1009\...\Run: [YandexBrowserAutoLaunch_4ABEE898A5B412B9411768A8F3AB4775] => "C:\Users\Артем\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {61BEE687-10C5-4A11-9D49-9096578BE92A} - \cvc -> Нет файла <==== ВНИМАНИЕ
Task: {516A2C2F-0A8B-479A-9862-FC0A02E322DF} - System32\Tasks\{000EB7F8-B82A-410B-9135-611E96857F4C} => C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe  (Нет файла)
Task: {473A5EA4-B11C-4AA4-9248-6F1897CD50C5} - System32\Tasks\{B980309D-28D0-430F-A59C-CAC3FF2D8C9A} => C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe  (Нет файла)
S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2026-01-12 14:33 - 2026-01-12 14:33 - 000000000 ____D C:\Users\1C server\AppData\Roaming\Process Hacker 2
2026-01-11 23:23 - 2026-01-11 23:23 - 000000000 ____D C:\Users\boost\AppData\Roaming\Process Hacker 2
2026-01-11 23:12 - 2026-01-12 07:58 - 000000000 ____D C:\temp
2026-01-11 23:10 - 2026-01-11 23:46 - 000000000 ____D C:\Program Files\Process Hacker 2
2026-01-11 23:10 - 2026-01-11 23:41 - 000002006 _____ C:\Users\boost\Desktop\Process Hacker 2.lnk.elpy--PvI48raOiBgyogiwDLtorApx1mLOhilciJ8ORnO6ko
2026-01-11 23:10 - 2026-01-11 23:10 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2026-01-11 21:58 - 2026-01-11 21:58 - 000000431 _____ C:\Windows\system32\u1.bat
2026-01-12 08:01 - 2023-09-13 00:13 - 000000000 __SHD C:\Users\1C server\AppData\Local\A4270915-5DA9-7791-1712-071233678B1F
2026-01-12 07:58 - 2025-02-13 00:24 - 000000000 __SHD C:\Users\boost\AppData\Local\A4270915-5DA9-7791-1712-071233678B1F
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.