Активность

Вот я дубина. От перестановки мест слагаемых... 75007, 75017, 75107, 75117: V(7*5!+0!)+V(0!+7!) = 100

75070, 75071, 75170, 75171: V(7*5!+0!)+V(7!+0!) = 100

Эффектно, эффективно, живописно! Тогда и эту туда же: ( (7 + (5^-0!))^(-0!) ) * 6! И 75106, соответственно

75010 и 75110: ((7-5)^-0!)V(10) = 100 75060, 75061, 75160, 75161: ((7+5^-1)/6!)^-1 = 100 75080: V(7!*V(5-0!)-80) = 100

Что-то как-то непросто с этими 750-751... Цифры вроде красивые, "5" обнадёживает, но аж 28 12 штук не удалось решить (половину!) 75000 75100 75001 75101 75006 75106 ((7+5^-1)^1*6! = 100 75007 75107 75010 75110 ((7-5)^-1)V(10) = 100 75011 75111 75017 75117 V(7*5!+1)+V(1+7!) = 29+71 = 100 75020 75021 75060 75160 ((7+5^-1)/6!)^-1 = 100 75061 75161 75070 75170 V(7*5!+1)+V(7!+1) = 29+71 = 100 75071 75171 75080 75180 V(7!*V(5-1)-80) = 100 75081 75181

Кушать подано! 750/751 = 29 штук. 75100 75152 75101 75153 75102 75154 75106 75155 75107 75156 75108 75160 75110 75161 75111 75165 75117 75170 75118 75171 75120 75178 75121 75180 75125 75181 75135 75187 75145

"не-04--12" = 44 штуки. aa-not-04--12.txt aa-not-04--12.xods "не-04--12-13" = 40 штук. aa-not-04--12-13.txt aa-not-04--12-13.xods "не-04--12-13-14" = 29 штук. aa-not-04--12-13-14.txt aa-not-04--12-13-14.xods

Не-06-08 = 15 штук. aa-not-06-07-08.txt aa-not-06-07-08.xods 00 37 75 01 55 83 10 56 86 11 57 89 22 67 97

То что это Lockbit v3 Black не было никаких сомнений Хорошо бы этот файл найти, возможно есть среди удаленных файлов, поищите файл среди удаленных в rsaver, getdataback, rstudio Зачистите с FRST, можно будет посмотреть что там за подозрительные задачи. Или просто проверьте, что запускается через cmd в этих задачах Task: {90B9D5BB-C130-43D9-9E50-7441E87F425F} - System32\Tasks\FopxAuEJ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C nslookup myip.opendns.com resolver1.opendns.com > \Windows\Temp\/kAPMal 2>&1 <==== ВНИМАНИЕ Task: {C27EF5B1-24BB-4BBD-828E-E68034AB4F6E} - System32\Tasks\jKtGavCJ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/UgvcXC 2>&1 <==== ВНИМАНИЕ Task: {35E1C4A0-00BF-4040-94E0-A603FE0054F1} - System32\Tasks\NyujwGvQ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/NEArDR 2>&1 <==== ВНИМАНИЕ Task: {35E1C4A0-00BF-4040-94E0-A603FE0054F1} - System32\Tasks\NyujwGvQ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/NEArDR 2>&1 <==== ВНИМАНИЕ

Исправьте по возможности: CrystalDiskInfo 8.17.14 v.8.17.14 Внимание! Скачать обновления VMware Workstation v.17.6.4 Внимание! Скачать обновления NVIDIA App 11.0.6.383 v.11.0.6.383 Внимание! Скачать обновления AIDA64 Extreme 6.88.6400 v.6.88.6400 Внимание! Скачать обновления WinSCP 4.3.9 v.4.3.9 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления Яндекс.Диск v.3.2.46.5114 Внимание! Скачать обновления Notepad++ (64-bit x64) v.8.5.2 Внимание! Скачать обновления Discord v.1.0.9003 Внимание! Скачать обновления µTorrent v.3.6.0.47224 Внимание! Клиент сети P2P с рекламным модулем! Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа! AIMP 5.11.2429 v.5.11.2429 Внимание! Скачать обновления ^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^ K-Lite Mega Codec Pack 18.7.0 v.18.7.0 Внимание! Скачать обновления Adobe Acrobat DC v.21.005.20060 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ Yandex Browser v.25.12.4.1259 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Читайте Рекомендации после удаления вредоносного ПО

SecurityCheck.txt

Есть ответ от ДрВэба: шифровальщик запускался с этого ПК, из файла C:\PerfLogs\update.exe , судя по отчету, на диске его уже нет. Компоненты защиты были отключены незадолго до запуска трояна, вероятнее всего вручную: 20260316.013258.171 [7480] SpIDer Guard was deactivated - Файлы зашифрованы Trojan.Encoder.31074 (Lockbit) Расшифровка нашими силами невозможна. Отключить вручную у меня возможности не было, политика доступа не позволяла. Чистить Систему обязательно чистить? в планах оставить всё вне сети как есть, потом просто новую систему установить.

Да, вижу что подходящего детекта нет. Проверьте в логах, было ли отключение защиты в период шифрования. + проверьте было ли шифрование на других устройствах в ЛС.

Карантина нет... есть скринщот менеджера карантина.

По очистке системы: Выполнить очистку в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM-x32\...\Run: [] => [X] Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: {90B9D5BB-C130-43D9-9E50-7441E87F425F} - System32\Tasks\FopxAuEJ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C nslookup myip.opendns.com resolver1.opendns.com > \Windows\Temp\/kAPMal 2>&1 <==== ВНИМАНИЕ Task: {C27EF5B1-24BB-4BBD-828E-E68034AB4F6E} - System32\Tasks\jKtGavCJ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/UgvcXC 2>&1 <==== ВНИМАНИЕ Task: {35E1C4A0-00BF-4040-94E0-A603FE0054F1} - System32\Tasks\NyujwGvQ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/NEArDR 2>&1 <==== ВНИМАНИЕ Task: {35E1C4A0-00BF-4040-94E0-A603FE0054F1} - System32\Tasks\NyujwGvQ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/NEArDR 2>&1 <==== ВНИМАНИЕ Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2026-03-15] ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (AnyDesk Software GmbH -> AnyDesk Software GmbH) Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

С Днём Рождения!

Судя по логу шифрование началось где то в это время: 2026-03-16 01:50 - 2025-06-06 13:39 - 000000653 ____N C:\Users\****\AppData\Local\oobelibMkey.log.MgHXQQFGN Покажите, пожалуйста, что в карантине ДрВеб 2026-03-13 13:48 C:\DrWeb Quarantine

Аттач Addition.txt

Addition.txt тоже добавьте, пожалуйста.

Прикладываю лог FRST, и архив с зашифрованными файлами. Систему сканировал после инцидента Cureit, логов нет, впрочем как и результата выявления вредоносных файлов, как будто и не было никого. Шифровальщик мог быть откуда угодно, файлы с сети качались, почта вложения принимала, обмен по сети был, флешки использовались. Детектов нет. Имя шифровальщика MgHXQQFGN. Штатный DrWeb стоит и мониторит давно, за день до атаки обновился. FRST.txt KAV.7z

Спасибо, скрипт отработал успешно. В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

ага. спасибо. тогда вопросы возникают к авторам документации.

@kmscom, меня это тоже смутило поначалу. Но и формулировка вопроса и этот вариант ответа взяты из актуальной документации: https://support.kaspersky.ru/my-kaspersky/227959

а разве Помощь в предотвращении мошенничества в Kaspersky Plus нельзя воспользоваться? Ответ - Ни одним из указанных, т.к. это доступно только с Kaspersky Premium неверный ответ , так как Помощь в предотвращении мошенничества не является премиальным сервисом, и доступен в Kaspersky Plus, а не только в Kaspersky Premium То что в вариантах ответов вопросе Каким набором программных решений с премиальным сервисом можно воспользоваться с купленным приложением Kaspersky Plus сервис Помощь в предотвращении мошенничества перечислен в наборе Премиальных, означает что либо ответ не корректен, либо сам вопрос.

Друзья! Публикуем верные ответы Напоминаем, что: