Активность

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

В картантине ничего такого не было Скрипт только очистит систему?Файлы никак не спасти?

Файл во вложении Fixlog.txt

Для дополнительного анализа проверьте ЛС

Ок. А файлы расшифруются?

Похоже что раскидали задачу с запуском шифровальщика на все устройства Защиту KES на локальных устройствах могли предварительно отключить, если получили доступ к консоли управления сервера администрирования. Task: {E95325D8-1447-428E-8401-7598FC73AC70} - System32\Tasks\1 => C:\a*****o.exe (No File) возможно что была еще одна задача, которая копировала данный файл с сетевого ресурса на локальный диск, при подключении устройства к DC. Не зашифрованными могли остаться только те, кто не подключался к DC. Обратите внимание на KSC, лучше обновить до актуальной версии. По очистке системы: Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\YandexBrowser: Restriction <==== ATTENTION Task: {E95325D8-1447-428E-8401-7598FC73AC70} - System32\Tasks\1 => C:\a***.exe (No File) 2025-12-21 23:10 - 2025-12-21 23:10 - 000003296 _____ C:\WINDOWS\system32\Tasks\1 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добрый день! Запрошенные файлы во вложении. Пароль от архива virus FRST.txt Addition.txt virus.7z

Карантин антивируса Касперского проверили? Ничего нет там? По очистке системы: Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ S3 AIDA64Driver; \??\C:\Program Files (x86)\FinalWire\AIDA64 Extreme\kerneld.x64 [X] S3 cpuz159; \??\C:\WINDOWS\temp\cpuz159\cpuz159_x64.sys [X] <==== ВНИМАНИЕ 2025-12-05 03:41 - 2025-12-05 03:41 - 000000543 _____ C:\WINDOWS\sysinfo01.bios Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Семпл шифровальщика не обноружил READ-ME-Nullhexxx (2).7z

Здравствуйте! Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Если не получится удалить стандартно, удалите принудительно с помощью Geek Uninstaller Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\сергей\appdata\roaming\utorrent\pro\utorrentpro.exe'); QuarantineFile('C:\Program Files\nodejs\nodeupdate.vbs', ''); QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', ''); QuarantineFile('c:\users\сергей\appdata\roaming\utorrent\pro\utorrentpro.exe', ''); DeleteSchedulerTask('EdgeUpdate'); DeleteSchedulerTask('EdgeUpdateTaskUser'); DeleteSchedulerTask('MyNode'); DeleteSchedulerTask('OperaUpdate'); DeleteSchedulerTask('UpdateTorrent'); DeleteSchedulerTask('uTorrentProUpdaterV5_t1727517329447'); DeleteSchedulerTask('uTorrentProUpdaterV6_t1727517336110'); DeleteFile('C:\Program Files\nodejs\nodeupdate.vbs', '64'); DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64'); DeleteFile('c:\users\сергей\appdata\roaming\utorrent\pro\utorrentpro.exe', ''); DeleteFile('C:\Users\Сергей\AppData\Roaming\utorrent\pro\uTorrentPro.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером.

Побуду немного душным: Наборы 055555 и 155555 не являются изоморфными, ибо 0 × 5 + 5! - (5 × 5) + 5 = 100 А такую комбинацию из 155555 не получить. В рамках нашей задачи это не актуально, но все же )

Определился ТОП-5 по итогам активности шифровальщиков за 2025 год По результатам анализа активности видим, что в Топ-5-2025 4 из 5 шифровальщиков (Mimic/Pay2key, Proton, Proxima, C77L) используют схемы X25519+Chacha20. Известно, что ECC имеет ряд преимуществ по сравнению с RSA: 1. 256-битный ключ ECC обеспечивает безопасность, сравнимую с 3072-битным ключом RSA. 2. меньшие размеры ключей приводят к более быстрым вычислениям. 3. ECC требует меньше памяти и пропускной способности, что делает его подходящим для мобильных устройств. ECC считается более безопасным, потому что задача дискретного логарифма, на которой он основан, сложнее для решения, чем задача факторизации целых чисел, которую использует RSA.

Ссылка на отчет - https://www.getsysteminfo.com/report/dda1f8fd0ed95b39678c6ecfcb9aa4ef Эти файлы выложите на файлообменник и дайте ссылку:

Первый вирус обнаружен после скачивания игры F1_2022 (уже удалил) с сайта ***. Второй, предположительно, после того как скачал атомик харт (тоже уже удалил), но сайт не помню точно. Удаляю с помощью KVRT, а после перезагрузки они опять появляются. Второй файл пытался удалить вручную, но видимо что-то не то сделал). Заранее большое спасибо! CollectionLog-2025.12.27-10.13.zip Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте ссылки на варез

. А кто сказал про перестановку? Я говорил о замене. Для примера решение для 055555 и 155555 будет одно и то же: 1*5*(5+5+5+5). Поэтому я из миллиона просто исключил первое число, оставив лишь второе.

если и будут, то доставят весной, когда про НГ все забудут )

С Днём Рождения!

Добавьте примеры зашифрованных файлов,записку о выкупе в архиве без пароля + логи FRST согласно правилам «Порядок оформления запроса о помощи». Если систему сканировали KVRT, Cureit или шататным антивирусом добавьте отчет о сканировании, в архиве без пароля. Если был найден сэмпл шифровальщика, добавьте файл в архиве с паролем virus.

Тип шифровальщика не определен с точностью, поэтому говорить о решении можно только с некоторой вероятностью. Если это Proxima, то бесплатного решения нет. Платные решение возможны только при наличие приватного ключа.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Софушка (44)serg-beliatzki (90)John Kofe (38)Samsung (52)igor_444 (51)yamamoto (51)

Норм! Справимся! Главное - не бояться :)

Не-не! Переставлять местами цифры нельзя!

Добрый день. Зашифровали сервер с данными на 10Тб \\\\ All your files are encrypted... All your files have been encrypted !!! To decrypt them send e-mail to this address : nullhex@2mail.co If you do not receive a response within 24 hours, Send a TOX message TOX ID : 5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE You can access it from here. https://tox.chat \\\\ Your ID : {********} Enter the ID of your files in the subject ! \\\\ What is our decryption guarantee ? Before paying you can send us up to 2 test files for free decryption ! The total size of files must be less than 2Mb.(non archived) ! Files should not contain valuable information.(databases,backups) ! Compress the file with zip or 7zip or rar compression programs and send it to us Есть возможность спасти данные?

С фильтром "двузнаков", которые не дают "01" вообще всё просто. Если в двузнаке есть ноль или единица, то: - второе делим на ноль, факториал = "01". - единица в степени n = "01". - n-корень из единицы = "01". Всё просто! aa-not-01.xods

Ну, что? Надо двигаться дальше - шаг за шагом ближе к цели, как говорил Великий Кормчий. Что у нас осталось по теме "667"? Да всё остальное. От "2" до "9". Но там всё проще! Смотрите сами. Из завершающего "четырёхзнака" получаются вполне "вкусные" результаты - нужно только отфильтровать заранее решаемые. ab-2667 2+6+6*7=50, 26+67=93 - если "ab"=02 или 07, то получаем сотню. То есть, надо порешать только то, что not "02,07" И аналогично: ab-3667 36+67=103, 3+6-6+7=10 not "03,10" ab-4667 V(4)+6+6*7=50, 4+6*(-6+7)=10, V(4)^6+6*7=106 not "02,06,10" ab-5667 5*6+67=97, 5*(6+6-7)=25, 5!-6-6-7=101 not "01,03,04" ab-6667 "2"^6-6+6*7=100, 6*6+67=103, 66+6*7=108 not "02,03,08" О, а здесь обильно: ab-7667 7+6*6+7=50, 7!/6!+6+7=20, 7*6+67=109, "10"^(7-6-6+7)=100 not "02,05,09,10" И далее: ab-8667 8*6+6*7=90, 86+6+7=99 not "01,10" ab-9667 96-6+7=97, 96+6-7=95, 9+(6/6)^7=10 not "03,05,10" То есть, нужно отсеять все "двузнаки", которые не дают "01", "02", "03", а потом ещё фильтрануть по ним остальные значения. Всё на этом, мне пора в аэропорт..