Активность

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылку кинул в личку

Да, все эти файлы участвовали в процессе шифрования вашего устройства. Теперь система от них избавлена. + проверьте ЛС.

Да, понятно какие файлы были прибиты дефендером и не попали в архив с карантином. Если session.tmp нет в папке C:\temp на других устройствах, значит запуска шифровальщика не было на этих устройствах. Зашифрованы были только файлы которые были в общем доступе. Шифрование было по сети с ПК, где этот запуск был, т.е. на том устройстве, которое мы сегодня зачистили. + проверьте ЛС.

Архив загружен, ссылка удалена. Fixlog.txt

надеюсь это то CollectionLog-2025.08.11-15.06.zip

Эта папка о которой я писал выше. Она не в *Temp, а просто в *Local, и имеет скрытый атрибут. По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [browser.exe] => C:\Users\user\AppData\Local\HowToRestoreFiles.txt [4086 2025-08-04] () [Файл не подписан] HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted. IFEO\EOSNOTIFY.EXE: [Debugger] * IFEO\InstallAgent.exe: [Debugger] * IFEO\MusNotification.exe: [Debugger] * IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] * IFEO\remsh.exe: [Debugger] * IFEO\SIHClient.exe: [Debugger] * IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\UpdateAssistant.exe: [Debugger] * IFEO\UPFC.EXE: [Debugger] * IFEO\UsoClient.exe: [Debugger] * IFEO\WaaSMedic.exe: [Debugger] * IFEO\WaasMedicAgent.exe: [Debugger] * IFEO\Windows10Upgrade.exe: [Debugger] * IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] * Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsReadOnly.vbs [2025-06-23] () [Файл не подписан] Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ 2025-08-04 11:39 - 2025-08-04 11:39 - 000000000 ____D C:\temp 2025-08-04 10:49 - 2025-08-04 10:49 - 000000000 ____D C:\ProgramData\Avast Software 2025-08-04 11:55 - 2024-09-25 03:50 - 000000000 __SHD C:\Users\user\AppData\Local\CBCC2F73-486B-99BF-77E7-15F0E0C2CC5E Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Addition.txt FRST.txt

ДОБАВИЛ ИОБРАЖЕНИЕ ДЕФЕНДЕРА, НЕ НАШОЛ BEE6758E-F327-E2B2-61BC-F522FEE8BC0C или в C:\temp НЕТ ТАКОЙ ПАПКИ

Думаю, да. Шифровальщик не должен быть активен. Можете так же проверить есть ли подозрительные процессы на зашифрованном устройстве, прежде чем подключить флэшку.

Запустилось, только после того как подкинул костыль в загрузчик. Мне безопасно вставлять флешки на эту систему? Потому что пишу с машины которая напрямую связана сервером, не очень хотелось бы подвергать опасности всю работу

судя по тем детектам и очистке файлов, которые есть в отчете KVRT - данная очистка не не должна быть причиной проблемы с загрузкой системы. Что то другое. Пробуйте в безопасный режим с поддержкой сети загрузить ее.

К сожалению система не стартует после зачистки KVRT по этому и продолжаю использовать диск установленный в хабе по usb. Сейчас попробую запустить через "костыль"

Логи FRST можете сделать из этой системы? активного шифрования в ней нет уже. Заодно и систему дочистим. Обратите внимание, что папка может быть с атрибутом скрытый, и у вас может быть в проводнике не видна.

Ни в Local ни в Temp примерного не вижу, сделал фото

Хорошо, проверим на ваших файлах.

Судя по отчету папка с телом самого шифровальщика не найдена, только установщик. <Event2 Action="Detect" Time="133990313599522976" Object="D:\Users\user\AppData\Roaming\encryptor.exe" Info="Trojan-Ransom.Win32.Mimic.av" /> проверьте, есть ли такая папка на системном диске зашифрованного устройства: C:\Users\user\AppData\Local в этой папке должен быть скрытый каталог примерно с таким шаблоном имени BEE6758E-F327-E2B2-61BC-F522FEE8BC0C Если такая папка есть, заархивируйте папку с паролем virus, добавьте архив в ваше сообщение.

Добрый день. По другой теме, где @gotached, заплатили за расшифровку Приписка у файлов, что в той теме, что моей прошлой .BlackFL Может как-то поможет экзешник расшифровщика, который прислали вымогатели? Пароль на архиве: virus decryptor.rar

Вот файлы репорта, файлы карантина не умещаются по максимальному размеру по отправке. Reports.rar

Chrome 139.0.7258.67. Блокировщики рекламы отключены. В режиме инкогнито тоже не работает. В Firefox работает.

Добрый день, У меня вообще капчу не просила: https://my.kaspersky.com/#/auth/layout/main Проблема в каком-то отдельном браузере или в любом: Google Chrome, Mozilla Firefox, MS Edge, Yandex.Браузер? Установлены ли блокировщики рекламы? Если да, то помогает ли временное отключение? Попробуйте в режиме инкогнито зарегистрироваться.

Да, есть такое. Думаю какая-то временная проблема.

Добрый день! Хотел коллегу зарегистрировать в личном кабинете, но там не отображается капча. Предлагается только вход через другие сервисы типа Гугла, Мордакниги или Яблока. Там опять что-то изменили для регистрации?

Скрипт дважды прогоняли? Fixlog.txt так понимаю - это результат повторного выполнения скрипта. по файлам: browser.exe ESET: A Variant Of Win32/Filecoder.Mimic.D.gen Kaspersky: HEUR:Trojan-Ransom.Win32.Generic DrWeb: Undetected https://www.virustotal.com/gui/file/39758214df0b282f4c245094943ee3a8181eb0c18c794ce6356448a0710b645f/detection encryptor.exe /установщик pay2keys/: ESET: BAT/Kryptik.AF Kaspersky: UDS:Trojan-Ransom.Win32.Generic DrWeb: PowerShell.Dropper.54 https://www.virustotal.com/gui/file/6b1c18e25d7ada0cc5f05862b3429a016b681b610e773cf362f0b0c91dfa4a78?nocache=1 Покажите, пожалуйста, детекты Defender, которые были при архивировании папки карантина FRST проверьте, есть ли на этих устройствах папка (она может иметь атрибут скрытый): BEE6758E-F327-E2B2-61BC-F522FEE8BC0C или в C:\temp есть ли файл session.tmp размером 32байта.

Если найдёте причину, сообщите здесь, пожалуйста. После чего будут финальные рекомендации.