Активность

Какое количество файлов было расшифровано при первом запуске дешифратора? + проверьте ЛС.

Личку проверяем.

С Днём Рождения!

Да предоставили его. Шифровальщика нет , пк органы забрали

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus? Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Вломанный пк забрали правоохранительные органы. Да со взломанного как сетевой диск. Дешифратор получили через телегу с этим контактом, но требуют еще за secret key

Все пароли смените. Проблема решена?

Запуск шифровальщика. скорее всего, был на взломанном устройстве. Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там, а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК. дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

~res-x64.txt В файле res-x64 изменения в системе после дешифровки Зараженной системы нет, только nas. ContiCrypt.MFP!MTB -- это детект в Windows Defender? Да дефендером определился. Архив с файлами скинул WinRAR archive.rar Сейчас решаю медленно но верно снапшотами нескольких вм в цикле перезапускаю , но файлов очень много и такой способ конечно не очень удобен

Что вы подразумеваете под файлом изменений? записку о выкупе, или что-то другое? .HIJIFJ - это очевидно расширение зашифрованных файлов, верно? ContiCrypt.MFP!MTB -- это детект в Windows Defender? Файлы зашифрованы предположительно с помощью шифровальщика Sauron. Добавьте так же несколько зашифрованных файлов + логи FRST из зашифрованной системы.

Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. aladdin (58)zolotoi (41)Oleger (57)vyacheslav77 (48)

Готово.Fixlog.7z

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Все пароли смените. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: Task: {E031E4E3-63D4-4766-A517-0A086C7F945C} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1983496138-3791155819-1600097845-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {654AB854-C592-4BB0-ADD5-4A1401B8A7F9} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1983496138-3791155819-1600097845-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {F67A4A0E-5415-4FFA-987D-635F8608918B} - System32\Tasks\OneDrive Startup Task-S-1-5-21-1983496138-3791155819-1600097845-1002 => C:\Users\Jemm\AppData\Local\Microsoft\OneDrive\25.060.0330.0003\OneDriveLauncher.exe /startInstances (Нет файла) ProxyServer: [S-1-5-21-1983496138-3791155819-1600097845-1001] => hxxp://127.0.0.1:12334 C:\Users\MAN-MADE\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom S3 HWiNFO_204; \??\C:\Users\MAN-MADE\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ StartPowershell: Remove-MpPreference -ExclusionProcess "powershell.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\ProgramData\WinAIHService" EndPowerShell: FirewallRules: [{60ee7bec-7985-474d-ab1d-b2733c58582b}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{c3971643-a074-4001-bac3-a6162188893e}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла C:\ProgramData\WinAIHService FirewallRules: [TCP Query User{D7BA02A3-5E12-40AF-8F6C-7F4B47146E01}C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe => Нет файла FirewallRules: [UDP Query User{33386CB2-8228-4699-9A0E-9EAE9CC89DD6}C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe => Нет файла FirewallRules: [TCP Query User{7C71350B-E396-4B48-833D-CBA9FE153C1F}C:\games\house flipper 2\houseflipper2.exe] => (Block) C:\games\house flipper 2\houseflipper2.exe => Нет файла FirewallRules: [UDP Query User{02AEB187-7252-4548-8F85-C1D0D9434C44}C:\games\house flipper 2\houseflipper2.exe] => (Block) C:\games\house flipper 2\houseflipper2.exe => Нет файла FirewallRules: [{98f46afb-c1d1-4bb7-80f9-c0405afbb4e2}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{1ff2a4b6-0128-4e58-adae-7d3c23738bb5}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{6e8545b3-53e8-42d7-9223-1eee01049bc1}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{471836aa-0736-4c70-adf2-b5673aaec0a8}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Сделала, прикладываю архив. Addition.7z

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

хорошо,спасибо

Готово. quarantine.7z отправила, новые логи во вложении. CollectionLog-2025.07.13-23.38.zip

По возможности исправьте: NVIDIA App 11.0.4.159 v.11.0.4.159 Внимание! Скачать обновления Discord v.1.0.9198 Внимание! Скачать обновления Spotify v.1.2.67.560.g46a15f6b Внимание! Скачать обновления На этом закончим.

SecurityCheck.txt

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); TerminateProcessByName('c:\programdata\winaihservice\winaihservice.exe'); QuarantineFile('c:\programdata\winaihservice\winaihservice.exe',''); DeleteFile('c:\programdata\winaihservice\winaihservice.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIH Service','x64'); DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Доброго дня! Сложно сказать, когда система заразилась, но после внезапного отключения интернета (исключительно в браузерах) решила проверить систему через CureIt. После "лечения" и "удаления", и следующей перезагрузки трояны все равно на своих местах. Логи прикладываю и заранее спасибо за помощь! CollectionLog-2025.07.13-23.24.zip