Активность

Саоме большое тут наверно только из-за ...3|6|9. Их оптимизировать не получилось. А вот тут можно сделать вот так: (6-0!)-14 = 106. и тогда превращается в "не-02-05-06" = 6 штук. 56 67 76 77 78 87 601456 601467 601476 601477 601478 601487 6014 6+0*1+4=10, 60/(-1+4) = 20 not "02,05,10" =19.

Проверил, угрозы активатора и всё

Здравствуйте. На сервере ночью шифровальщиком были зашифрованы все файлы. Вероятно попали через RDP. С помощью Kaspersky Endpoint Security 12 был пойман Stub.exe. Прошу подсказать, есть ли вариант восстановить данные. Addition.zip Files.zip FRST.zip

Это единственный ПК, который пострадал от шифрования? Если был найден сэмпл шифровальщика добавьте файл в архиве с паролем virus Если систему сканировали KVRT, Cureit или штатным антивирусом добавьте отчеты сканирования в архиве, без пароля.

Дважды не нужно было выполнять скрипт, отчёт был перезаписан. Но не страшно. Сделайте ещё раз полное сканирование Cureit, а также KVRT. Сообщите будут ли обнаружения.

Отправил архив и фикслог по почте Пароль к архиву указал в ЛС вам

Наберитесь терпения и дождитесь ответа. Консультанты - не сотрудники компании, а обычные пользователи (конечно, специально обученные и подготовленные). Отвечают в свободное время.

Логи Логи.rar

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Упакуйте его ещё раз с другим паролем, который передайте мне личным сообщением. Это тоже, пожалуйста.

Может кто ответить или помочь?

Отправить не могу На почте яндекса и мейла пишет о том, что "в письме возможно вирус" и не отправляет его соответственно обязательно ли в теле письма указывать "virus" ?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\Software\Policies\...\system: [DisableAcrylicBackgroundOnLogon] 1 HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== ВНИМАНИЕ HKU\S-1-5-21-4271332285-611751615-1068854009-1001\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла) 2026-01-14 10:22 - 2026-01-14 10:22 - 000000000 ____H C:\Users\ONH\888d8d8d88d.txt 2026-01-14 10:14 - 2026-01-14 10:14 - 000081920 ___RH C:\Users\ONH\syscfgvhost.exe 2026-01-14 10:14 - 2026-01-14 10:14 - 000000000 ____H C:\Users\ONH\AppData\Roaming\windrx.txt 2026-01-14 10:13 - 2026-01-16 12:42 - 000000284 ____H C:\Users\ONH\tbtcmds.dat 2026-01-14 09:18 - 2026-01-27 14:02 - 000004096 ____H C:\Users\ONH\tbtnds.dat 2026-01-14 09:17 - 2026-01-27 15:52 - 000000000 ____D C:\Users\ONH\AppData\Roaming\RAC 2026-01-14 09:17 - 2025-08-28 17:16 - 000081408 ___RH C:\Users\ONH\syskravbnr.exe Folder: C:\Users\ONH\winmgr FirewallRules: [{28AE744B-E1B1-4A77-82B1-5C57D047653E}] => (Allow) C:\Users\ONH\AppData\Local\Temp\DriverPack-20251003110015\tools\aria2c.exe => Нет файла FirewallRules: [{AE8B5BD3-1518-482C-B892-29F41181620A}] => (Allow) C:\Users\ONH\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла FirewallRules: [{58F8B688-BACC-42D3-9524-C89DF2D5DA18}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\ceup.exe => Нет файла FirewallRules: [{FB8813E2-B6D1-4D9B-BBE3-2E3ABF954AC8}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\ceup.exe => Нет файла FirewallRules: [{EBDA9B10-6552-4329-A342-3AE0979FCC96}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{517A8689-5441-4DE0-B3FA-91A79B9AAA4C}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{EF7C4282-A075-41B3-A948-30F65A6814B2}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\360mlupdate.exe => Нет файла FirewallRules: [{B31358A3-5F9A-4C60-97B3-CE972ADE7E8C}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\360mlupdate.exe => Нет файла FirewallRules: [TCP Query User{3561F1B2-13EC-4CC4-A0FA-90F8EB897746}C:\users\onh\syskravbnr.exe] => (Block) C:\users\onh\syskravbnr.exe () [Файл не подписан] FirewallRules: [UDP Query User{9538476F-7E04-42F7-8240-D71778461B76}C:\users\onh\syskravbnr.exe] => (Block) C:\users\onh\syskravbnr.exe () [Файл не подписан] FirewallRules: [TCP Query User{6401A299-07C1-4000-B334-031515B3435B}C:\users\onh\syscfgvhost.exe] => (Block) C:\users\onh\syscfgvhost.exe () [Файл не подписан] FirewallRules: [UDP Query User{A1224FAB-1AFC-4008-BCCA-428C17F9B744}C:\users\onh\syscfgvhost.exe] => (Block) C:\users\onh\syscfgvhost.exe () [Файл не подписан] FirewallRules: [TCP Query User{B7A63D67-3ED9-4313-B967-BD6384A6960B}C:\users\onh\syscrovhost.exe] => (Block) C:\users\onh\syscrovhost.exe => Нет файла FirewallRules: [UDP Query User{36F67F13-37DD-4EA5-9E52-BDF55E4342F3}C:\users\onh\syscrovhost.exe] => (Block) C:\users\onh\syscrovhost.exe => Нет файла Zip: c:\FRST\Quarantine\ EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. На рабочем столе появится архив Date_Time.zip (Дата_Время) Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Всё получилось. Прикрепляю файлы отчетов FRST.txt Addition.txt

Хорошо, файл проверю немного позже. Детект файлв шифровальщика https://www.virustotal.com/gui/file/356527c22117facbe136ab2e285d5020334cbe1e89fddafd9236dcc169234749?nocache=1 Для дополнительного анализа проверьте ЛС. С расшифровкой файлов по данному типу не сможем помочь. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

virus.zip

В крайнем случае запускайте в безопасном режиме.

Написано ведь было: Переименуйте файл на расширение *.vexe, добавьте восстановленный файл в архив с паролем virus, загрузите архив в ваше сообщение. А вы просто архив переименовали. Пробуйте еще раз сделать архив с паролем.

нет

Пароль установили к архиву? Восстановленный файл удалите.

вот он

Временно отключите защиту антивируса.

Здравствуйте! В логах пока явных признаков заражения не видно. Поясните, пожалуйста: как вы об этом узнаёте? Во время такого "прослушивания" у вас включены камера и микрофон? В каких программах вы в это время находитесь, т.е. какие программы запущены? Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Поменял расширение и всё равно удалился файл

Утилит по расшифровке достаточно много, но они предназначены только расшифровки определенного типа. Нет такого универсального дешифратора который расшифрует все что было зашифровано за несколько лет назад, и новые типы, которые будут в последующие годы. Вначале надо определять правильно тип шифровальщика, затем уже искать дешифратор для данного типа, если он есть в природе. Не должен, он запускается вручную. Но сразу измените ему расширение. Временно отключите защиту.