mimic/n3wwv43 ransomware Последствия шифровальщика

19 января

Всем доброго дня, вот и меня настиг шифровальщик(

Прошу помочь в решении вопроса:

Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
Your data is encrypted by NNI
Your decryption ID is ***_-jpKocsmvBagMrrfEvFq9HLhsocFNQU4*nni-***_-jpKocsmvBagMrrfEvFq9HLhsocFNQU4
Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
The only method of recovering files is to purchase decrypt tool and unique key for you.
If you want to recover your files, write us
1) eMail - decryptyou@mailum.com
2) Backup Telegram - @cristi025

Attention!

Do not rename encrypted files.
Do not try to decrypt your data using third party software - it may cause permanent data loss.
We are always ready to cooperate and find the best way to solve your problem.
The faster you write - the more favorable conditions will be for you.
Our company values its reputation. We give all guarantees of your files decryption.

Зараженный файлы.zip

Изменено 19 января пользователем safety

19 января

Добавьте, пожалуйста, файл записки с оригинальным именем + логи FRST из зашифрованной системы

20 января

Не совсем понял что за файл записки с оригинальным именем, можете поподробнее?

Логи FRST прилагаю

FRST.txt Addition.txt

20 января

17 минут назад, Bonkers сказал:

Не совсем понял что за файл записки с оригинальным именем, можете поподробнее?

Этот файл добавьте в ваше сообщение

C:\DECRYPT-info.txt

По очистке системы:

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
HKU\S-1-5-21-328375065-4174413662-899363799-1112\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-328375065-4174413662-899363799-1113\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-328375065-4174413662-899363799-1114\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-328375065-4174413662-899363799-1115\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-328375065-4174413662-899363799-1116\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-328375065-4174413662-899363799-1118\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-328375065-4174413662-899363799-1119\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-328375065-4174413662-899363799-1121\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-328375065-4174413662-899363799-1130\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-328375065-4174413662-899363799-500\...\Run: [YandexBrowserAutoLaunch_5DA45427B46AD0B69918F2E7A03CF847] => C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\Application\browser.exe [5613808 2025-12-24] (YANDEX LLC -> YANDEX LLC)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2026-01-18 01:32 - 2026-01-18 01:32 - 000000000 ____D C:\temp
2026-01-18 01:32 - 2026-01-18 06:47 - 000000960 _____ C:\DECRYPT-info.txt
2025-12-27 12:18 - 2026-01-18 01:26 - 000000000 ____D C:\Users\Administrator\Desktop\Netscan 1.3
2026-01-18 15:02 - 2025-05-21 03:01 - 000000000 __SHD C:\Users\Administrator\AppData\Local\6C9911A1-677E-43D9-B6D0-1DFA7585B3F3
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено 20 января пользователем safety

20 января

Папка Quarantine архив загружен, ссылка удалена

Fixlog.txt DECRYPT-info.txt

Изменено 20 января пользователем safety
архив загружен, ссылка удалена

20 января

Судя по логу FRST система очищена успешно.

Для доп. анализа проверьте ЛС.

mimic/n3wwv43 ransomware Последствия шифровальщика

Рекомендуемые сообщения

Bonkers

safety

Bonkers

safety

Bonkers

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum