Активность

Странно что Cureit не нашел файл шифровальщика. Актуальным Cureit проверяли, или со старой базой? Судя по результату проверки детект есть: DrWeb Trojan.Encoder.40979 https://www.virustotal.com/gui/file/4c5177f1ab53a1beaa5b68e2d51aea56bcae9b16b76136e6f5afeb246b3ce9ff?nocache=1 С расшифровкой файлов не сможем помочь без приватного ключа. Как избежать ситуаций с шифрованием: Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Сделано. https://cloud.mail.ru/public/dKL4/yikj2QLyZ Fixlog.txt Cureit.zip

Поздравляю!

Просьба не цитировать мои сообщения, просто пишите ответ в окне редактора. Время у меня позднее, результат выполнения скрипта проверю завтра.

Захожу сейчас в магазин. Вижу Сетевое зарядное устройство 1 штука, думаю закажу, пригодится как второе. После добавления в корзину их стало 0 штук, оформил заказ, а теперь их в магазине 2 штуки. Чудеса.

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ 2025-10-07 23:06 - 2025-10-07 23:41 - 000000000 ____D C:\temp 2025-10-08 00:19 - 2023-09-28 11:37 - 000000000 __SHD C:\Users\Лошманов Евгений\AppData\Local\5457DB13-E85D-B5AF-3E73-BA66CEDC8EC4 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении. Как найти файл: Откройте Проводник Windows: или "Этот компьютер". Перейдите в папку пользователя: по пути: C:\Users\<Ваше_Имя_Пользователя>. Найдите папку DoctorWeb: и внутри нее вы увидите файл CureIt.log.

Логи сделаны из под админского сеанса. Зашифрованные файлы видны во всех сеансах. Проверял CureIt. НЕ вижу как логи вытащить в CureIt

Шифрование именно в этой системе было, откуда логи FRST сделаны? что-то не видно ни одного зашифрованного файла. Систему уже чистили в KVRT или Cureit? Можете добавить логи проверки в архиве, без пароля? Покажите содержимое этих папок: 2025-10-08 00:19 - 2023-09-28 11:37 - 000000000 __SHD C:\Users\Лошманов Евгений\AppData\Local\5457DB13-E85D-B5AF-3E73-BA66CEDC8EC4 и c:\temp

К сожалению записку найти не удалось. Где она может лежать? zimmer.zip

Добавьте несколько зашифрованных файлов, записку о выкупе в архиве без пароля + логи FRST

Здравствуйте! ПОдцепили на сервер шифровальщик zimmer. Зашифровал 1С, Альту ГТД и много других файлов. Есть решение данной проблеме?

вы не совсем поняли. Такой возможности чтобы просто взять и бесплатно куда-то залезть нет. Нужно приложить достаточно много усилий чтобы такая возможность появилась. Это дорого и оправдано только для получения действительно ценной информации. Поэтому ваш условный "бывший молодой человек" вряд ли будет этим заниматься, даже если имеет достаточную квалификацию. Гораздо быстрее и дешевле сделать дубликаты ключей к вашей квартире и получить все что нужно с самого компьютера. Фильмы про хакеров имеют мало общего с реальностью.

Согласно описанию от яндекса - да, есть.

Вот я об этом и подумала что главное то что если теоретически такая возможность есть и что до простых людей им дела нет это тоже понятно, но если один из таких специалистов окажется вашим бывшим ревнивым молодым человеком (вы уже не простым для него человеком становитесь) и он сможет без труда залезть в ваш компьютер используя служебное положение раз у него есть техническая возможность и для него это будет бесплатно ведь его этим правом наделила компания и было бы глупо ему этим не воспользоваться тем более если никто не узнает об этом.

это некорректный пример. Если у кого-то по роду деятельности есть доступ к этим базам данных, то они конечно могут посмотреть информацию. Но просто потому, что у них есть к этому доступ. Но к вашему компьютеру изначально ни у кого нет доступа, поэтому никто к нему доступа получить просто так не может. если это будет важно для государства, то они придут к вам домой и изымут компьютер физически. В рамках закона об оперативно-розыскной деятельности. При наличии оснований и соответствующих санкций. Теоретически возможно все. Затратив энное количесво средств, можно получить доступ и к вашему компьютеру. Но для этого на нем должна быть информация, которая окупит затрату этих средств. Просто ради интереса это никто не будет делать. Просто экономически нецелесообразно.

Что-то прям не вериться в то что если пользователь не скачивает из интернета вирусы и сомнительные программы, то к его компьютеру никто не имеет доступа через провод интернета даже при всё желании! Может тут ответ такой что простые люди им не интересны чтобы этим заниматься .А вот если к примеру это будет очень важно для гос-ва неужели оно не сможет надавить на билайн чтобы это сделать в любой нужный ей момент?! К примеру поймать какого-нибудь иностранного агента, шпиона,или международного преступника и тп. Ведь чисто технически это возможно мне почему-то кажется. Если это реально гос-ву будет нужно. Неужели компании разрабатывающие компы не внедрили по умолчанию такую скрытую от пользователя функцию доступную только им и спец службам -ведь так бы можно было поймать больше преступников. А где есть возможность там есть и злоупотребление ею и так например сотрудник обладающий такой возможностью сможет к примеру за своей вывшей подглядывать. Равносильно тому что если среди ваших бывших одноклассников есть сотрудник сбербанка то я с большой уверенностью могу предположить что он прошёлся по банковским счетам всех своих одноклассников посмотреть кто "поднялся" и стал богатым,а кто бедствует, и сравнив всё с оценками которые они полeчали в школе, чисто ради интереса и эту человеческую натуру интереса к информации убрать невозможно.

Обновили магазин.

тем более они видят имя подключенного компьютера. Но не более того. Доступа к компьютеру без вашего согласия они получить не могут.

Нет, роутера у меня в квартире нету. Провод напрямую идёт в сетевую карту. Протокол L2tp. Вот скриншот того как выглядит мой центр управления сетями

В начале октября Unity объявила разработчикам игр, что им предстоит большая работа. В популярном игровом движке, используемом и для компьютерных, и для консольных, и для мобильных игр, обнаружилась программная уязвимость, для устранения которой нужно обновить все опубликованные игры. Причем появился дефект восемь лет назад — в версии 2017.01, он затрагивает все современные игры и приложения на платформах Android, Linux, MacOS, Windows. На анонс отреагировали не только разработчики. Valve объявила, что заблокирует в Steam запуск игр с небезопасными параметрами, а Microsoft пошла дальше, и порекомендовала временно удалить уязвимые игры до их обновления. Чем грозит уязвимость, и как устранить ее, не удаляя игры? Как работает уязвимость Unity Эксплуатация ошибки с официальным идентификатором CVE-2025-59489 приводит к тому, что игра запускает посторонний код или предоставляет атакующему доступ к информации на устройстве. Происходит это во время запуска игры. Злоумышленник может передать игре параметры запуска, и уязвимые версии Unity Runtime обработают среди прочих несколько команд, предназначенных для отладки: -xrsdk-pre-init-library, -dataFolder , overrideMonoSearchPath, -monoProfiler. По этим командам движок Unity загружает любые указанные в параметрах запуска библиотеки функций, включая посторонние. На Windows загружаются dll-файлы, на Android и Linux – библиотеки .so, на MacOS – .dylib. Таким образом, приложение с низкими привилегиями может запустить игру, и уже от имени игры загрузить и запустить вредоносную библиотеку. Последняя получит такие же права и доступы, как сама игра. View the full article

в 7й винде не отображались ярлыки крупные (были прозрачные), и огромные не показывались частично - папки. потратил для спортивного интереса 3 дня на поиски, но 2-3 десятка форумов и ответов в интернете не помогли, проблема оказалась в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows главна проблема в отсутствии параметра "IconServiceLib"="IconCodecService.dll" здоровый должен выглядеть так: ненужные строки удалить, нужные добавить: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "IconServiceLib"="IconCodecService.dll" "DdeSendTimeout"=dword:00000000 "DesktopHeapLogging"=dword:00000001 "GDIProcessHandleQuota"=dword:00002710 "ShutdownWarningDialogTimeout"=dword:ffffffff "USERNestedWindowLimit"=dword:00000032 "USERPostMessageLimit"=dword:00002710 "USERProcessHandleQuota"=dword:00002710 @="mnmsrvc" "DeviceNotSelectedTimeout"="15" "Spooler"="yes" "TransmissionRetryTimeout"="90"

Хорошо, файлы проверим. По дешифратору: Приватный ключ privkey.bin соответствует публичному ключу: 64F280C20CFF6CC7A093C4F4A250C73004E490C2E6C78F22C7F668F854D4D608 а публичный ключ соответствует ID: ZPKAwgz_bMegk8T0olDHMATkkMLmx48ix_Zo-FTU1gg т.е. дешифратор расшифрует все файлы, которые были корректно зашифрованы с участием указанного публичного ключа. Как избежать ситуаций с шифрованием: Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);