Активность

Вроде все сделал как надо. Прикрепил логи, которые Вы просили (AV_block_remove_дата-время.log) и на всякий другие (CollectionLog). Понимаю, что не просили, но я подумал, что не просто так попросили собрать новые логи. Если не нужно было, то прошу прощения! AV_block_remove_2025.12.27-18.48.log CollectionLog-2025.12.27-18.55.zip

решение не найдено? По ссылке не работает, т.к. Hyper-V (у меня WSL2 в частности) каждый раз создает новый адаптер и соответственно появляется запрос касперского. ПО Kasperssky premium.

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Понял. Еще раз большое спасибо!

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

В картантине ничего такого не было Скрипт только очистит систему?Файлы никак не спасти?

Файл во вложении Fixlog.txt

Для дополнительного анализа проверьте ЛС

Ок. А файлы расшифруются?

Похоже что раскидали задачу с запуском шифровальщика на все устройства Защиту KES на локальных устройствах могли предварительно отключить, если получили доступ к консоли управления сервера администрирования. Task: {E95325D8-1447-428E-8401-7598FC73AC70} - System32\Tasks\1 => C:\a*****o.exe (No File) возможно что была еще одна задача, которая копировала данный файл с сетевого ресурса на локальный диск, при подключении устройства к DC. Не зашифрованными могли остаться только те, кто не подключался к DC. Обратите внимание на KSC, лучше обновить до актуальной версии. По очистке системы: Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\YandexBrowser: Restriction <==== ATTENTION Task: {E95325D8-1447-428E-8401-7598FC73AC70} - System32\Tasks\1 => C:\a***.exe (No File) 2025-12-21 23:10 - 2025-12-21 23:10 - 000003296 _____ C:\WINDOWS\system32\Tasks\1 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добрый день! Запрошенные файлы во вложении. Пароль от архива virus FRST.txt Addition.txt virus.7z

Карантин антивируса Касперского проверили? Ничего нет там? По очистке системы: Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ S3 AIDA64Driver; \??\C:\Program Files (x86)\FinalWire\AIDA64 Extreme\kerneld.x64 [X] S3 cpuz159; \??\C:\WINDOWS\temp\cpuz159\cpuz159_x64.sys [X] <==== ВНИМАНИЕ 2025-12-05 03:41 - 2025-12-05 03:41 - 000000543 _____ C:\WINDOWS\sysinfo01.bios Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Семпл шифровальщика не обноружил READ-ME-Nullhexxx (2).7z

Здравствуйте! Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Если не получится удалить стандартно, удалите принудительно с помощью Geek Uninstaller Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\сергей\appdata\roaming\utorrent\pro\utorrentpro.exe'); QuarantineFile('C:\Program Files\nodejs\nodeupdate.vbs', ''); QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', ''); QuarantineFile('c:\users\сергей\appdata\roaming\utorrent\pro\utorrentpro.exe', ''); DeleteSchedulerTask('EdgeUpdate'); DeleteSchedulerTask('EdgeUpdateTaskUser'); DeleteSchedulerTask('MyNode'); DeleteSchedulerTask('OperaUpdate'); DeleteSchedulerTask('UpdateTorrent'); DeleteSchedulerTask('uTorrentProUpdaterV5_t1727517329447'); DeleteSchedulerTask('uTorrentProUpdaterV6_t1727517336110'); DeleteFile('C:\Program Files\nodejs\nodeupdate.vbs', '64'); DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64'); DeleteFile('c:\users\сергей\appdata\roaming\utorrent\pro\utorrentpro.exe', ''); DeleteFile('C:\Users\Сергей\AppData\Roaming\utorrent\pro\uTorrentPro.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером.

Побуду немного душным: Наборы 055555 и 155555 не являются изоморфными, ибо 0 × 5 + 5! - (5 × 5) + 5 = 100 А такую комбинацию из 155555 не получить. В рамках нашей задачи это не актуально, но все же )

Определился ТОП-5 по итогам активности шифровальщиков за 2025 год По результатам анализа активности видим, что в Топ-5-2025 4 из 5 шифровальщиков (Mimic/Pay2key, Proton, Proxima, C77L) используют схемы X25519+Chacha20. Известно, что ECC имеет ряд преимуществ по сравнению с RSA: 1. 256-битный ключ ECC обеспечивает безопасность, сравнимую с 3072-битным ключом RSA. 2. меньшие размеры ключей приводят к более быстрым вычислениям. 3. ECC требует меньше памяти и пропускной способности, что делает его подходящим для мобильных устройств. ECC считается более безопасным, потому что задача дискретного логарифма, на которой он основан, сложнее для решения, чем задача факторизации целых чисел, которую использует RSA.

Ссылка на отчет - https://www.getsysteminfo.com/report/dda1f8fd0ed95b39678c6ecfcb9aa4ef Эти файлы выложите на файлообменник и дайте ссылку:

Первый вирус обнаружен после скачивания игры F1_2022 (уже удалил) с сайта ***. Второй, предположительно, после того как скачал атомик харт (тоже уже удалил), но сайт не помню точно. Удаляю с помощью KVRT, а после перезагрузки они опять появляются. Второй файл пытался удалить вручную, но видимо что-то не то сделал). Заранее большое спасибо! CollectionLog-2025.12.27-10.13.zip Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте ссылки на варез

. А кто сказал про перестановку? Я говорил о замене. Для примера решение для 055555 и 155555 будет одно и то же: 1*5*(5+5+5+5). Поэтому я из миллиона просто исключил первое число, оставив лишь второе.

если и будут, то доставят весной, когда про НГ все забудут )

С Днём Рождения!

Добавьте примеры зашифрованных файлов,записку о выкупе в архиве без пароля + логи FRST согласно правилам «Порядок оформления запроса о помощи». Если систему сканировали KVRT, Cureit или шататным антивирусом добавьте отчет о сканировании, в архиве без пароля. Если был найден сэмпл шифровальщика, добавьте файл в архиве с паролем virus.

Тип шифровальщика не определен с точностью, поэтому говорить о решении можно только с некоторой вероятностью. Если это Proxima, то бесплатного решения нет. Платные решение возможны только при наличие приватного ключа.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Софушка (44)serg-beliatzki (90)John Kofe (38)Samsung (52)igor_444 (51)yamamoto (51)

Норм! Справимся! Главное - не бояться :)