Активность

FRADD.zip

Fixlog.txt

@JIEXA, здравствуйте! Ваши расшифрованные файлы.

1, Выполните скрипт очистки в FRST 2. Соберите образа автозапуска в uVS для проверки драйверов, возможно что они чистые. С расшифровкой файлов, к сожалению, не сможем помочь без приватного ключа. теперь, когда ваши данные был зашифрованыs, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

@Александр_vgau, здравствуйте! Ваши расшифрованные файлы.

Что мне дальше делать с этим?

По очистке системы от файлов шифровальщика: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM-x32\...\Run: [] => [X] Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README.hta [2025-07-18] () [Файл не подписан] HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-2312955964-2356314201-1808932627-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ S2 luminati_net_updater_win_mediaget_com; "C:/Users/Админ/MediaGet2/Luminati-m/net_updater32.exe" --updater win_mediaget.com [X] 2025-07-18 10:37 - 2025-07-18 10:44 - 000000000 ____D C:\Users\Админ\Desktop\64 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Если нужна проверка системы на наличие другого вредоносного кода: Сделайте в uVS дополнительно образ автозапуска. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, (3.1 пропускаем) 4, 5, 6. Если запросили обычный образ автозапуска, переходим сразу к п.4 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Не знаю, Это ПК Касса в магазине цифровой техники с базой 1С

@vmax, здравствуйте! Хорошая новость, появилась расшифровка:

Сэмпл шифровальщика: https://www.virustotal.com/gui/file/5b934bb39c833fac11bfab1804b2f0e5276a7c37166dfe0b05a9ae3f962fad1f?nocache=1 Много драйверов неподписанных в системе, что это может быть?

Сейчас

Проблема решена, только решение не очень... начать всё сначала Ровно месяц общался с поддержкой, в итоге всё начать с начала по инструкции: https://support.kaspersky.com/KSCLinux/15.3/ru-RU/294125.htm НО сначала выполнить пункты с 1 по 5, потом 7 (установка Web KSC), в конце пункт 6 (Восстановление данных из резервной копии).

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Толь-ко одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запуще-на программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообще-нию.

CollectionLog-2025.07.18-16.17.zip

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\WinAIHService\WinAIHService.exe',''); DeleteFile('C:\ProgramData\WinAIHService\WinAIHService.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIH Service','x64'); DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ ло-ги.

Никак не могу удалить. Майнер возвращается после перезапуска системы CollectionLog-2025.07.18-15.25.zip

здесь все полезное уже зашифровано. 64.zip.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK попробуйте из карантина KVRT извлечсь файл 64.exe, антивирусную защиту временно отключить. Файл после извлечение переименовать в 64.vexe, и добавить в архив с паролем virus, Файл архива добавьте в ваше сообщение. Архив с файлом, и сам файл можно удалить и включить защиту.

архив загружен, файл удален

Эту папку заархивируйте с паролем virus, архив добавьте в ваше сообщение. 2025-07-18 10:37 - 2025-07-18 10:44 - 000000000 ____D C:\Users\Админ\Desktop\64 + файл 64.exe попробуйте восстановить из карантина KVRT, файл добавить в архив с паролем virus, и поместить в ваше сообщение.

Да. Удалил

А в KVRT было что-то найдено?

Сделал проверку KVRT, а после поставил Антивирус. Полная проверка занимала много времени, и я ее остановил. Быстрая проверка результата не дала. Во вложении отчет отчет.rar

Касперского поставили после шифрования файлов? Можете добавить отчет по обнаружению и сканированию в архиве, без пароля?

Перезалил в рхив Desktop.rar

Может, вы у себя вначале проверите, потом напишите пароль, или исправите вложение?