Активность

После проверки через kvrt нашел zfflnfqvpeqe.exe. После перезапуска восстановился под названием 3434.exe CollectionLog-2025.09.10-17.59.zip После virustotal'а 50 детектов. не знаю, много ли это говорит о ней

Поздравляю!

У меня вопрос ко всем, кто знаком с MAX: Во время звонка ко мне идет звук, но нет ни какой информации на телефоне (значка что бы ответить). Я догадываюсь, что это MAX. Захожу в него. И там еще надо найти звонящего, что бы ответить. Крайне не удобно. Так вот сам вопрос: Как настроить, что бы как в ватсапп или телеграмм появлялся значок "ответить" с инфой кто звонит?

SecurityCheck.txt

Пока ничем не можем помочь. Ждем логи FRST.

С расшифровкой файлов, увы, не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); ---------- если необходима проверка второго ПК, сделайте на нем логи FRST и добавьте в эту же тему с пометкой "по второму ПК".

Перед сканированием подключил к ПК смартфон. Возможно вирус оттуда. FRST.txt Addition.txt

Здравствуйте! Явных признаков заражения в логах не видно. Сделайте дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Здравствуйте! Всё правильно, спасибо. Наберитесь терпения, ответ консультанта может не появиться мгновенно, т.к. помощь оказывается на добровольных началах и в свободное от других занятий время. Пожалуйста, упакуйте в архив папку: и прикрепите к следующему сообщению. Деинсталлируйте нежелательное ПО через Параметры - Приложения: Если не получится удалить стандартно, удалите принудительно с помощью Geek Uninstaller Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Зашифровали файлы на сервере, логи анализа системы при помощи Farbar Recovery Scan Tool получить на данный момент невозможно - машина на удаленном администрировании, при попытке подключиться удаленно компьютер отключается. Физический доступ к компьютеру получится получить не раньше субботы. Доступ есть только к внешнему жесткому диску, на нем обнаружена записка с текстом: Need decryption? I **Contact us**: Write to our email - forumkasperskyclubru@msg.ws Telegram - https://t.me/forumkasperskyclubru 5UAQ5QFTLJe6bdA2F6eTu-SNVaVq-QcLYH3XFxDzSTU*ID-13A55AA4-1122-forumkasperskyclubru@msg.ws Зашифрованные файлы + Записка.zip

Я с такой проблемой сталкивался на новых мат платах. Суть в том что поставив пароль на биос (уефи) при загрузке ОС он также спрашивает этот же пароль. Даже если не собираешься войти в биос. Решение: в самом биосе, в меню boot, в строке "параметры безопасности" нужно выбирать - Установки. До это была - Система. Повторюсь это на новых матплатах.

Fixlog.txt

Улучшили код для графика сравнения активности шифровальщиков. В обновленном варианте можно указать год для получения ТОП-5/10. При этом полученный список шифровальщиков автоматически используется (без необходимости ручного ввода имен) для сравнения активности по всем годам из базы статистики. Можно так же ввести произвольный список для сравнения активности. ———————— Из "долгожителей" можно отметить Salted2020, который активен с 2020 года, а возможно и раньше.

С Днём Рождения!

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. D.M. (38)Кнопка (32)saidhon (41)wakko (33)

Шифрование после очистки в FRST должно прекратиться. Автозапуск системы очищен. [3788] C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe => процесс успешно завершён. "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\browser" => успешно удалены "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\browser.exe" => успешно удалены "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\enc-build.exe" => успешно удалены Файлы шифровальщика удалены. файл шифровальщика проверен. На текущий момент KVRT должен детектировать: UDS:Trojan-Ransom.Win32.Generic ESET-NOD32 A Variant Of Win32/Filecoder.Mimic.D.gen https://www.virustotal.com/gui/file/d5b3e76e9fbf613cc1ea140f0f0fa74ff10513adcb3607939c953b92d01aa1dc/detection перехватить мы можем только публичный ключ, которым было выполнено шифрования. Для расшифровки файлов необходим соответствующий приватный ключ, который в системе не светится. + проверьте ЛС. + С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {1A07159F-EC88-4B98-9DFD-2D79887EFC19} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Нет файла <==== ВНИМАНИЕ Task: {1F28086E-28A5-432D-A93B-B688432AA9A2} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Нет файла <==== ВНИМАНИЕ Task: {26E788BA-ED19-4F49-94C4-4FDC538F2FF8} - \WPD\SqmUpload_S-1-5-21-53943567-3079362097-353134314-1004 -> Нет файла <==== ВНИМАНИЕ Task: {346CA901-E015-4642-82F4-3EF9BF068B12} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Нет файла <==== ВНИМАНИЕ Task: {389AA892-E05D-4699-8254-6E8360A69302} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Нет файла <==== ВНИМАНИЕ Task: {39D1CBDA-E0EA-45DC-9172-FB976C6AD91D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Нет файла <==== ВНИМАНИЕ Task: {489655F9-02C6-4845-99F2-8F15E4A73281} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Нет файла <==== ВНИМАНИЕ Task: {54F752F6-4A15-4C3B-8883-BF043018CE78} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Нет файла <==== ВНИМАНИЕ Task: {5E2B557F-B880-46C9-AE9A-BBF7ED948F33} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Нет файла <==== ВНИМАНИЕ Task: {724E17DF-5AB1-4FAC-B856-A449529B939B} - \WPD\SqmUpload_S-1-5-21-53943567-3079362097-353134314-1001 -> Нет файла <==== ВНИМАНИЕ Task: {7BF0EE85-F1EA-4637-B8D3-0CCB903FAB52} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Нет файла <==== ВНИМАНИЕ Task: {858BE814-C2E6-4CB5-BFDF-18ADA28D3772} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Нет файла <==== ВНИМАНИЕ Task: {B0958E2D-BF42-4019-8AD5-8BF009596FB7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Нет файла <==== ВНИМАНИЕ Task: {BAD9139C-003A-4C07-B166-A89B9D0E800B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Нет файла <==== ВНИМАНИЕ Task: {D47C76B4-8A84-4562-A2F3-3F949413007D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Нет файла <==== ВНИМАНИЕ Task: {EABE7A34-A5EC-40E4-8059-7BD24237BB98} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ CHR HKU\S-1-5-21-53943567-3079362097-353134314-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [djgdgdcfmdkficbifbnaacknblbkhhoc] CHR HKU\S-1-5-21-53943567-3079362097-353134314-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKU\S-1-5-21-53943567-3079362097-353134314-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcjjaajflhellmcfcecojihhmdbjmmlm] CHR HKU\S-1-5-21-53943567-3079362097-353134314-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg] CHR HKU\S-1-5-21-53943567-3079362097-353134314-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec] 2025-09-06 23:09 - 2025-09-06 23:09 - 000000000 ____D C:\temp 2025-09-06 21:14 - 2025-09-06 23:02 - 000000000 ____D C:\Users\Admin\Desktop\Netscan 1.3 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Я заметил один интересный момент. После перезагрузки системы вирус дошифровывает новые нетронутые ранее файлы, например на флешке. При этом, когда шифровальщик впервые начал свою работу, компьютер начал сильно тормозить и в этот момент я сделал принудительное отключение и разорвал интернет соединение. Может ли это означать, что ключ шифрования все ещё в системе и его можно перехватить?

Мне кажется, что текст писали одни люди, таблицу делали другие люди. Те и другие знали общий контекст, но у каждого в голове были свои понимания целей и получилось то, что получилось. Не было того, кто бы был погружен в тему и серьёзно бы вычитал, чтобы указать не неточности и несоответствия.

незадолго до этого обнаруживал Defender Switch.Ink Heur:Trojan.Multi.Runner.c Сейчас ничего не обнаруживает, но создал аккаунт Kaspersky на смартфоне. Затем зашел в аккаунт на ПК в браузере и программе Kaspersky: заметил кроме моих еще чужие подписки safe kids и 2 одинаковых устройства. Результатом Kaspersky сообщил об обнаружении еще одного устройства и посоветовал сменить пароль. Сменил. Не мои подписки пропали. Часто обнаруживаю в почте и др. программах чужое устройство или несколько похожих на мое. CollectionLog-2025.09.09-21.40.zip

Так правильно? Или что-то не так?

@Umnik, мне кажется, что два абзаца в статье, так сказать на актуальную тему, были вставлены в последний момент. Возможно в уже готовую статью. Поскольку они несколько выбиваются из общего контекста.

kvrt нашел и я удалил winproxi? больше ничего CollectionLog-2025.09.09-21.19.zip

Порядок оформления запроса о помощи