Активность

Хорошо, проверю немного позже.

$RM3V0HV.zipАрхив с паролем virus

Посмотрите, пожалуйста, поможет ли этот экзешник в расшифровке наших файлов?

5,5,5 - ?

Добрый день. Удалось обнаружить файл, которым "работали" злоумышленники. $RM3V0HV.7zВот этот файл

Судя по логах Cureit файлов шифровальщика не обнаружено при сканировании В архиве defender.rar сэмпл шифровальщика? и скорее всего архив создан без пароля. Переделайте архив с паролем virus.

С учетом того, что зашифрованные файлы имеют расширение *KHvpTGMpP, можно предположить что ваши файлы были зашифрованы LockbitV3Black, Расшифровка файлов по данному типу невозможна без приватного ключа. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

This is not necessary. We cannot help you decrypt your files. If you need help cleaning the system, we will need the FRST logs from the encrypted system.

Продолжаем. 1. Деинсталлируйте нежелательное ПО: Если не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller 2. Файл Check_Browser_Lnk.log из папки перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 3. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = localhost;127.0.0.1 O4 - HKLM\..\Session Manager: [BootExecute] = (no file) O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4 O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1 O22 - Tasks: (disabled) EdgeUpdate - C:\Windows\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft') O22 - Tasks: (disabled) UpdateTorrent - C:\Users\SwiftKiller\AppData\Roaming\utorrent\pro\uTorrentClient.exe /T (not signed - no company - 94CD415BF5E7474CF61632ECCF2F241EA223BA85) O27 - Account: (Hidden) User 'John' is invisible on logon screen Перезагрузите компьютер. 4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

defender.rardefender.rar

cureit(3960).rar

а понял KHvpTGMpP.README.txt

Изменять уже не надо. Просто добавьте файл записки с оригинальным именем.

hy i cant message you private i need talk to you sir

да до шифрования откатил, поэтому логи и не прикрепил, но мне сказали сделать по правилам - прикрепил. записку уже не могу убрать не даёт изменить сообщение

Систему откатили на момент до шифрования? тогда логи бесполезны. Добавьте записку в виде файла, без изменения имени. Не публикуйте текст записки в открытом доступе с приватными данными.

This is LokiLocker, decrypting files without a private key is impossible.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Artesmann (37)staff (37)Gaihnik79 (46)Лётчик (57)RifleMaster (48)

(-(!5) + 4^3!)/(2 × 1) = (-44 + 4096)/2 = 2026 (6! - !5) × (!4/3) - 2! - !1 = 676 × 3 - 2 = 2026

5: (!5 + 4 - 3) ^2 +1=2026

(((((((9 * 8 ) * 7) + 6) - 5) * 4) + (3 * 2)) * 1)=2026 8: ( 8* ( 7 + 6 * 5 *4 ) -3 ) *2 *1=2026 (8 * (7 + 6 * 5 * 4)- 3) *2/1=2026 7: (( 7 * 6 ) * ( 5 - 4 ) + 3 ) ^2 + 1=2026 6: (((6 + 5 + 4) *3 ) ^2) +1=2026

(9* ( 8 +7 -6 )) * (5*4+3+2) +1 =2026 ((9 *8 * 7 + 6-5 ) *4 +3 +2) +1 =2026

9: 9 * ( 8 + 7 - 6 ) * ( 5 * 4 + 3 + 2)+1=2026 ( 9 + 8 ) *7 * ( -6 + 5 * 4 + 3 )+2 +1=2026 ( 9 * 8 * 7 + 6 - 5) * 4 + 3 + 2 + 1=2026 9 + 8 * 7 * 6 * ( 5 - 4 + 3 + 2) + 1=2026

Один из "нижайших" уровней можно и без великих математиков, только с помощью кратных и субфакториалов: ((!4)!!!!)^(!3) + 2 - 1 = (9 × 5)^2 + 2 - 1 = 2026

(10 + 9+ 8 ) * ((7 + 6) * 5 + 4 *3 - 2)+ 1=2026 (10 + 9+ 8 ) * (7 *(6 + 5) + 4 - 3*2) + 1= 2026 (10 + 9+ 8 ) * ((7*6 + 5*(4+3)) - 2) + 1 = 2026 (10 + 9+ 8 ) * ((7*(6+5) + 4) - 3*2) + 1 = 2026