Активность

там где ссылка на дамп на яндекс диск, эти файлы в архиве по ссылке, вместе с дампом hop+pkey+idk.zip

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

С Днём Рождения!

Понятно.

У нас был пользователь USR1CV8, под ним работает 1с в фоне. После заражения в папке со всеми пользователсями появися точно такой же пользователь но с цифрой 3 на конце

Для доп. анализа проверьте, пожалуйста, ЛС

На профиле USR1C83 при открытии программы diskcryptor видим эту картину

Это поясните, что означает

Не рискнул этого делать

А если вы выбираете 1cestart запускается DiskCryptor? Это поясните, что означает

Винда говорит что не значет чем открывать этот файл, и прдлагает выбрать проограмму для запуска (Второй скриншот из моего ответа выше)

Что происходит, если вы пытаетесь открыть зашифрованный диск? Запрашивает пароль? или предлагает использовать приложение для открытия?

Все диски на нашем сервере зашифрованы (кроме системного)

Не понял ваш ответ. Дополнительные локальные диски зашифрованы или нет? Открываются или нет?

Только одно устройство зашифровано? Дополнительные диски зашифрованы? можете показать на скрине, что происходит при попытке открыть зашифрованный дополнительный диск?

Добрый день. Пойммали вирус-шифровальщик на сервер. выяснили что все действия проводились через пользователя под которым крутилась 1с, однако была создана его копия, в которой хранится файл DiskCryptor. Ниже прикрепляю файл логов, а так же пара зашифрованных файлов вместе с архивом вируса Files.rar FRST.txt virus.rar

2026-01-08 08:14 - 2026-01-08 08:14 - 000000398 _____ C:\ProgramData\pkey.txt 2026-01-08 08:14 - 2026-01-08 08:14 - 000000015 _____ C:\ProgramData\IDk.txt 2026-01-08 08:15 - 2026-01-08 08:15 - 000002032 _____ C:\Windows\system32\HOP.KEY

новое от 15 тр, но надо знать во что ставишь. Intel Arc A310 не совместима с железом старее этого

Эти файлы важны для получения ключа, точнее HOP.KEY, pkey.txt важен для контроля приватного ключа. 2026-01-08 06:46 - 2026-01-08 06:46 - 000002032 _____ C:\Windows\system32\HOP.KEY 2026-01-08 06:46 - 2026-01-08 06:46 - 000000398 _____ C:\ProgramData\pkey.txt 2026-01-08 06:46 - 2026-01-08 06:46 - 000000015 _____ C:\ProgramData\IDk.txt и по каждому ПК свой приватный ключ + для доп. анализа проверьте ЛС

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Сергей Васильевич (44)z-z-zverekkk (32)Tank (43)HitMan (31)Vovka Pichkur (36)Kisulina (38)vasy123 (38)

Здравствуйте. Выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Защита винды нашла его но не может его удалить, как избавиться от него? trojan:win64/disguisedxmrigminer

еще с одного компа дамп памяти до перезагрузки с закрытым ant gmail. https://disk.yandex.ru/d/CbcDXbKgQ3_j6A FRST.txt Addition.txt