Активность

Если из снапшота восстанавливали, то это плохая практика. Перевыпустить его, но тогда клиенты потеряют связь и ее придется руками восстанавливать.

Я освободил место. Что дальше делать?

Шифровальщик погрыз win пользователей. добавленное расширение *.ant_dec. Все системы снесены, логи и отчеты снимать не с чего. Небольшие файлы зашифрованы полностью, большие только первые 400000 байт + добавлен хвост начинающийся с 'tim' и еще 256 байт. в архиве записка, pkey(публичный), HOP(судя по дизасму - зашифрованный приватный privkey) и примеры шифрованных doc, jpg. есть пара орига/шифр файла прошивки (проприеарный формат, размер 7Мб ) Так же есть архив с тушкой вируса со всеми либами (пакет распространения который не успели снести и зашифровать 27Мб) tsygankov.zip

Да, пока всё также. Сейчас место освобожу

Постарайтесь освободить место на системном диске хотя бы до 95 Gb. Проблема пока сохраняется?

Просто это сито очень много кода занимает, а уменьшает мало 😃 Уже за 500 строчек, по 2 строки на комбинацию. Причем это именно проверка, а не автовычисление подходящих комбинаций. У меня выше есть списки two_X, которые содержат ab, из которых можно получить как раз X.

Fixlog.txtприкрепляю логи

Хорошо, ладно. Вы взяли все под свой личный контроль. Теперь только вам решать, когда купить, по какой цене и где. Что вас не устраивает, что программа продолжает предлагать купить, после покупки? Ну и пусть предлагает, вы же сам себе начальник теперь. Программа вам не указ. Проигнорируйте ее предложение и все, если вы держите все под своим контролем и уже купили.

ну вот через час и напишите что именно произойдет.

Fixlog.txt Сделал

Непонятно, что именно начинается Произойдет то, о чем написала программа Или Касперский стал писать обратное, что новый код не активируется?

Добрый день ТК развернули сервер из бекапа, у новогого сервера новое fqdn, а также есть подчинённый сервер. необходимо как изменить на новом сервере сертификат с новым fqdn/

После этого уведомления решил все-таки вручную активировать лицензию продления:

Вот про этот нюанс и писал (разные типы лицензий), нужно дождаться окончания текущей подписки и активировать новую вручную, как и мне. Это все отдел продаж с маркетингом, они все ждут когда все пользователи дружно перейдут только на подписки с автопродлением, тогда этой проблемы не будет, только пополняйте свой денежный баланс на время продления. И до них достучаться очень и очень сложно.

У меня автопродление было включено. Но по этому автопродлению Касперский автоматически списывает деньги за новую лицензию с карты. За какое-то время до окончание лицензии Касперский прислал уведомление, что будет списана такая-то сумма. Я проверил и оказалось, что эта сумма в полтора раза больше, чем если бы я купил лицензию просто так, без всякого автопродления. Ну и на фига мне такое автопродление??? Естественно, я его отключил, купил новую лицензию просто так и ввел новый код активации. При этом программа написала, что этот новый код активируется, когда закончится старый! Я и жду себе спокойно. А тут вон какая ерунда начинается. Касперский, тебе не стыдно? Моя подписка истекает ровно через час. С нетерпением жду, что же произойдет потом...

Вот это сито (как мне кажется) здОрово прорядит оставшиеся комбинации. Сильное исследование! P.S. Жену, честно говоря, немного жалко

С утра уже Microsoft намекает купить продление антивирусу:

+ Удалите старые и соберите новые логи FRST.txt и Addition.txt

Звоните провайдеру. Может реально технические проблемы временного характера. А если подозреваете вирусы, то лечиться в спецраздел.

Этот файл добавьте в ваше сообщение C:\DECRYPT-info.txt По очистке системы: Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours) HKU\S-1-5-21-328375065-4174413662-899363799-1112\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла) HKU\S-1-5-21-328375065-4174413662-899363799-1113\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла) HKU\S-1-5-21-328375065-4174413662-899363799-1114\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла) HKU\S-1-5-21-328375065-4174413662-899363799-1115\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла) HKU\S-1-5-21-328375065-4174413662-899363799-1116\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла) HKU\S-1-5-21-328375065-4174413662-899363799-1118\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла) HKU\S-1-5-21-328375065-4174413662-899363799-1119\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла) HKU\S-1-5-21-328375065-4174413662-899363799-1121\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла) HKU\S-1-5-21-328375065-4174413662-899363799-1130\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла) HKU\S-1-5-21-328375065-4174413662-899363799-500\...\Run: [YandexBrowserAutoLaunch_5DA45427B46AD0B69918F2E7A03CF847] => C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\Application\browser.exe [5613808 2025-12-24] (YANDEX LLC -> YANDEX LLC) IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ 2026-01-18 01:32 - 2026-01-18 01:32 - 000000000 ____D C:\temp 2026-01-18 01:32 - 2026-01-18 06:47 - 000000960 _____ C:\DECRYPT-info.txt 2025-12-27 12:18 - 2026-01-18 01:26 - 000000000 ____D C:\Users\Administrator\Desktop\Netscan 1.3 2026-01-18 15:02 - 2025-05-21 03:01 - 000000000 __SHD C:\Users\Administrator\AppData\Local\6C9911A1-677E-43D9-B6D0-1DFA7585B3F3 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Всем привет! Из ещё интересных методов, которые я попробовал использовать: мы верно учли, что 10^2 = 100. Но мы учитывали этот факт только для случая, когда abc = 10 и def=2. Но ведь 10 и 2 могут быть вначале. Например 252def. Поэтому я наши шестизнаки решил разбить в такую группировку "10 | 2 | мусор". 2 и мусор соединяем через (2^мусор). Используя этот алгоритм я стал искать из однозначной выборки [1,2,5,6,7,8] числа, являющиеся степенью двойки. 2 и 8. Теперь аналогично для двухзначных чисел. Но тут уже будет комбинация из десятки [1,5,6,7] и единицы [1,2,5,6,7,8]. Очевидно, что рассматривать варианты 2^X и 8^X нет смысла. По аналогичной схеме далее рассмматривал для 3х- и 4х- значных чисел. 5 не было, так как из максимум из 4х знаков получилось получить все двойки. Затем по аналогичной схеме я уже пробовал найти и 10. Среди 1х чисел их не нашлось, для 2х значных 25,28,52,55,82. Для 3х значных использовал уже наши расчеты. 4- и 5- значных чисел также расчитывал. В итоге у меня не получилось получить 10 только из комбинации 11111. Шесть вариантов с 11111X я не стал смотреть, так как у нас всё равно не хватит места для степени двойки. Помимо 10 я также пробовал получить варианты с 0.1 (0.1^-2), 50 (50*2), 200 (200/2), 98 (98+2) и 102 (102-2). Конечно же тут уже работал с осторожностью, потому что из 50^8 например не получить 100. Это я учитывал в дальнейшем анализе. Затем, когда все полготовленные расчеты были сделаны, я решил посчитать а сколько вариантов в итоге отсекутся с помощью этого. Помог в очередной раз небольшой скрипт на python. Из 46656 ушло 39177 совпавших вариантов. Для дальнейшего анализа оставалось 7479 комбинаций. Тут я также вычел такие комбинации как 50+50; 2+-*98/102/50; 10 двухзначные * 10 четырезначные; 10 трех на 10 трех-значные. То есть постарался по максимуму использовать расчитанные мной варианты. Затем я попробовал поиграться с комбинациями ab cd ef. Из зинтересных расчетов в голове выходили комбинации 4! * 4 + 4 = 100, 5! - 4! + 4 = 100, ( 4 + 6 ) ^ 2 и тд. Их много. Поэтому попытался собрать какие числа от 1 до 13 можно получить из двухзнака ab. Благо у меня их только 36, поэтому это было быстро. С учетом этих вычислений можно сократить поиск с 7479 записей до 4716 и меньше - я тут пока не завершил. Трудность в том, что некоторые комбинации уже могли попасть в мой расчет с 10^2 поэтому тут они уже не помогали (например ( 4 + 6 ) ^ 2 точно есть в десятках). И из-за этого число вариантов для ручного поиска уменьшается очень медленно. И я сейчас в делемах. Бросить этим заниматься и начать вручную перебирать варианты с 7479 записями. Или же всё-таки добить и сократить выборку максимально для ab cd ef ? P.S. Кстати, про склейку. Я ранее говорил, что её не использовал. Верно, но потом всё таки включил её частично - в цифры 5,7 и 8 я другие цифры не превращал и поэтому я могу спокойно эти три цифры между собой склеивать. Что и использовал в своих расчетах. P.P.S Жена была не рада - все НГ праздники провел в расчетах =))

Какие именно расширения и в каком браузере? И что сейчас с первоначальной проблемой?

Не совсем понял что за файл записки с оригинальным именем, можете поподробнее? Логи FRST прилагаю FRST.txt Addition.txt

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ Task: {FF94B009-FBEF-4A29-9329-D5FC91F02F1B} - System32\Tasks\bRErPeSfRbRpgN => C:\Windows\system32\rundll32.exe [89600 2025-05-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\LhtawtKnOOcU2\SjejjSaWLEQOw.dll",#1 <==== ВНИМАНИЕ Task: {3DF3ED30-AFD5-4583-B839-8A01EA59CB85} - System32\Tasks\hnduvgkafiyabbc2 => C:\Windows\system32\rundll32.exe [89600 2025-05-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\nySAHRpqU\jjSWEO.dll",#1 <==== ВНИМАНИЕ Task: {1F3AF0D9-E5EF-49C8-917F-07B27726D5A5} - System32\Tasks\kfgyrahmudfunveyn2 => C:\Windows\system32\rundll32.exe [89600 2025-05-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\iyFllqBVxwQQOtEoBAR\XjaMifI.dll",#1 <==== ВНИМАНИЕ Task: {4B42AF55-5763-45DE-AC1D-3CB84541F67B} - System32\Tasks\sxlojfpsztdonvkmrne2 => C:\Windows\system32\rundll32.exe [89600 2025-05-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\ObiqgueJhUIJC\WpCDejH.dll",#1 <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ CHR HKLM\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp] CHR HKU\S-1-5-21-1235523880-1573549148-1516193173-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] CHR HKLM-x32\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp] S2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-10-19] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ S2 gupdate; отсутствует ImagePath S3 gupdatem; отсутствует ImagePath C:\Program Files (x86)\LhtawtKnOOcU2 C:\Program Files (x86)\nySAHRpqU C:\Program Files (x86)\iyFllqBVxwQQOtEoBAR C:\Program Files (x86)\ObiqgueJhUIJC AV: Malwarebytes (Disabled - Out of date) {0D452135-A081-B000-D6B6-132E52638543} AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58} AlternateDataStreams: C:\Windows\Temp:A96ECA9E [48] AlternateDataStreams: C:\Windows\Temp:DeviceUUID [64] AlternateDataStreams: C:\ProgramData\fontcacheev1.dat:D758CE5CE2 [4290] AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [294] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4290] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [4290] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [4290] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkyVPN.lnk:DA291E8B52 [4290] AlternateDataStreams: C:\Users\Даниил\AppData\Local\Microsoft:ISBD [32] StartPowershell: Set-MpPreference -DisableAutoExclusions $true -Force Set-MpPreference -Mapsreporting basic -Force Set-MpPreference -DisableRealtimeMonitoring $false -Force Set-MpPreference -DisablePrivacyMode $true -Force Set-MpPreference -DisableIOAVProtection $false -Force Set-MpPreference -UILockdown 0 Set-MpPreference -ScanPurgeItemsAfterDelay 1 Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force Set-MpPreference -PUAProtection enabled -Force Update-MpSignature Get-MpComputerStatus Get-MpPreference EndPowershell: EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

С Днём Рождения!