Активность

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); Пробуйте найти сервис по восстановлению базы, возможно что база не была зашифрована полностью и может быть вероятность восстановления, но не расшифровки.

Слушаю по настроению: synthwave, немного электроники, иногда старые рф хиты. Кстати, многие из любимых треков потом ставлю и на звонок. А вы где обычно берёте рингтоны, если не стандартные?

Систему будем скорее всего переустанавливать. Вся загвоздка только в одной но супер важной базе 1С. С уважением, Дмитрий

Virtual Private Network

Он имеет в виду впн )

Название можете назвать?

Эти файлы сохраните на случай если станет возможной расшифровка. 2025-12-14 18:17 - 2025-12-14 18:17 - 000003328 _____ C:\Users\Администратор\Documents\Cpriv.Loki 2025-12-14 18:17 - 2025-12-14 18:17 - 000003328 _____ C:\Users\Администратор\Desktop\Cpriv.Loki 2025-12-14 18:17 - 2025-12-14 18:17 - 000003328 _____ C:\ProgramData\Cpriv.Loki 2025-12-14 18:17 - 2025-12-14 18:17 - 000003328 _____ C:\Cpriv.Loki Систему будете восстанавливать, или переустанавливать? Похоже что проблема с реестром, не показывает автозапуск.

Для дополнительного анализа проверьте ЛС

для доп. анализа проверьте ЛС

Думаю, возможна вот такая оптимизационная задумка: (Базовая идея - конкатенировать первые две цифры набора и дальше рассматривать, что получится) 1. Для наборов, которые начинаются на 70, 71... 98, 99 сводим задачу к такой: получить из четырех оставшися цифр числа 30, 29, 28 ... 2, 1. Если для каких-то наборов не выходит, то рассматриваем такой набор отдельно. Например, для набора 700200: из 0200 число 30 никак не получить, но 700/((0! + 2)! + 0!) = 100 2. Набор начинается на 66: 6!/6 = 120, задачу можно свести к первому пункту - "набор начинается на 80" (только со знаком минус, надо получить из четырех цифр не 20, а -20) 3. Набор начинается на 69 или 63. 6!/3! = 6!/(v9)! = 6!/6 Сводим к пункту 2 4. Рассматриваем наборы, начинающиеся на 68, 67, 65, 64, 62, 61, 60, 59, 58, 57, 56, 51 5. - Наборы на 55 сводятся к задаче: "получить из четырех оставщихся цифр четверку", т.к. 5 × 5 = 25 - наборы на 54 - "получить из оставщихся пятерку", 5 × 4 = 20 - наборы на 53 - к пункту 1 для наборов на 75 со знаком минус, т.к 5^3 = 125 - наборы на 52 - к наборам на 55, т.к 5^2 = 25 - наборы на 50 - "получить из 4 цифр двойку" 6. Рассматриваем наборы на 48, 47 7. - Наборы на 49 и 43 сводятся к пункту 4, наборам на 64, т.к 4^v9 = 4^3 = 64 - наборы 46 - к пункту 4, наборам на 56 со знаком минус, т.к 4! × 6 = 144 - наборы на 45 - к наборам на 80 или к наборам на 54 - наборы на 44 - к наборам на 96, 4! × 4 = 96 - наборы на 42 - к наборам на 48, 4! × 2 = 48 - наборы на 40 и 41 - к наборам на 52, т.к 4! + 0! = 25 8. Рассматриваем наборы на 33, 32, 31, 30 9. - наборы на 39 сводятся к наборам на 80 или к наборам на 54, т.к. 3!!/9 = 80, 3! × 9 = 54 - наборы на 38 - к наборам на 90 или наборам на 48 - наборы на 37 - к наборам на 42, 3! × 7 = 42 - наборы на 36 - к наборам на 80 со знаком минус, 3!!/6 = 120 - наборы на 35 - к наборам на 56 со знаком минус, 3!!/5 = 144 - наборы на 34 - к наборам на 81 или на 72, 3^4 = 81, 3 × 4! = 72 10. Рассматриваем наборы на 29, 28, 22, 21, 19, 18, 17, 16, 13, 12, 11, 10 - наборы на 27 сводятся к наборам на 72 со знаком минус, 2^7 = 128 - наборы на 26 - к наборам на 64, 2^6 = 64 - наборы на 25 - к наборам на 52 - наборы на 24 - к наборам на 48, 2 × 4! = 48 - наборы на 23 - к наборам на 64, 2^3! = 64 - наборы на 20 - к наборам на 54, "получить из 4 цифрх пятерку" - наборы на 15 - к наборам на 80 или 79 со знаком минус, 1 + 5! = 121 - наборы на 14 - к наборам на 52, 1 + 4! = 25 Вот такой вот черновой эскиз стратегии.

Уважаемые коллеги, добрый день! Взломали терминальный сервер (ориентировочно 12-13 декабря), снесли штатный антивирус (DrWeb) и запустили вирус шифровальщик. После этого уже 15 декабря сервер был недоступен, приходится грузится сторонними утилитами (LiveCD). Коллеги из DrWeb помочь не смогли... Прикладываю архив с 2-мя зашифрованными файлами, текстом о выкупе и лог работы программы Farbar Recovery Scan Tool. Буду крайне признателен за любую обнадеживающую информацию. Была зашифрована крайне важная база 1С (бэкапа увы нет...) С уважением, Дмитрий. 222.zip

Fixlog.txt Во вложении

Обидно, однако! Цель для меня выбрать инструмент, удобный для меня. Тут я могу работать как с телефона, так и с рабочего ноута. Фильтрация позволяет просмотреть только оставшиеся строки. МоёОфис попробовал - через 15 минут закрыл, когда он завис на создании доп строк. Да, понятно, что есть комбинации, которые можно применить разом к нескольким вариантам (0^X и 1^Y) и как это применить быстро к инструменту вопрос хороший. Но у меня первоочередная цель сделать перебор всех вариантов, а не сделать быстро - так как дедлайна нет.

Да, так работает ) В принципе достаточно прогрузить чаты, потом уже будет работать. На телефоне при этом все работает. а вот это зависит от конкретного провайдера. Насчет WhatsApp мне сейчас помогло изменение DNS. Банально на Яндексовский.

Нет, к сожалению, первоисточника. Не нашли

Пробуйте с тремя буквами, но не от ЛК. Соединение появляется. Только неудобно это.

У меня пишет, типо интернета нет, хотя с интернетом всё в норме. Кстати, в конце ноября полностью перестал работать Ютуб, тоже пишет, что нет интернета. Возможно, эти 2 события связаны.

Аналогичная ситуация. Белый фон, потом "отсутствует подключение к интернету". Когда использовал слово из трёх букв (в адрес телефона и ПК одновременно), то смог запустить и заново отсканировать QR код. В моём случае, т.к. мифическая конфиденциальность не требуется (в вотсапе общение по поводу обычных дел), смело перешёл на Max. В принципе в вотсапе остались только настоящие фанаты безопасного общения, которые при этом тоже ничего предосудительного никогда не пишут и могли бы тоже общаться в Максе, но им страшно ставить Макс.

угу, инструменты атаки. Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2025-12-17] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2025-12-17] () [File not signed] 2025-12-18 02:12 - 2025-12-18 02:12 - 000006148 _____ C:\Users\Kalitkin\Desktop\ReadMe.hta 2025-12-18 02:12 - 2025-12-18 02:12 - 000000081 _____ C:\Users\ReadMe.hta 2025-12-18 00:55 - 2025-12-18 00:55 - 000003460 _____ C:\Users\N-Save-1PP4R.sys 2025-12-18 00:55 - 2025-12-18 00:55 - 000003460 _____ C:\Users\arh1lect0r\AppData\N-Save-1PP4R.sys 2025-12-18 00:55 - 2025-12-18 00:55 - 000003460 _____ C:\N-Save-1PP4R.sys 2025-12-18 00:55 - 2025-12-18 00:55 - 000000417 _____ C:\Windows\SysMain.sys 2025-12-18 00:54 - 2025-12-18 00:57 - 000000036 _____ C:\R_cfg.ini 2025-12-18 00:41 - 2025-12-18 02:12 - 000000000 ____D C:\Users\Administrator\Desktop\AR2 2025-12-18 00:39 - 2025-12-18 02:12 - 000000000 ____D C:\Users\Administrator\Desktop\extpassword 2025-12-18 00:37 - 2020-02-05 11:10 - 000029184 _____ () C:\Users\Administrator\Desktop\AccountRestore 2.exe 2025-12-18 00:34 - 2025-12-18 02:12 - 000000000 ____D C:\Users\Administrator\Desktop\mimi 2025-12-18 00:33 - 2025-12-18 02:12 - 000000000 ____D C:\Users\Administrator\Desktop\S Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Если сообщение в почте сохранилось, сохраните файл сообщения в формате EML, добавьте файл в архив с паролем virus, добавьте архив в ваше сообщение.

Дополнительно прикладываю архив с вирус ом xinfecter.zip Пароль virus Прикладываю скриншотами:

да, этот файл шифровальщика RCRU64. Проверьте, пожалуйста, что в этих папках: 2025-12-18 00:41 - 2025-12-18 02:12 - 000000000 ____D C:\Users\Administrator\Desktop\AR2 2025-12-18 00:39 - 2025-12-18 02:12 - 000000000 ____D C:\Users\Administrator\Desktop\extpassword 2025-12-18 00:34 - 2025-12-18 02:12 - 000000000 ____D C:\Users\Administrator\Desktop\mimi 2025-12-18 00:33 - 2025-12-18 02:12 - 000000000 ____D C:\Users\Administrator\Desktop\S

Ооо.. Да, красивенько! Однако, вопрос главный в другом. Как придумать способ за конечное время решить все варианты: a b c d e f = 100.

готово. файл прилагаю Fixlog.txt

Да, на ПК проблемы.