Лидеры

Система уязвима: MS16-032,,no MS17-010,EternalBlue,no CVE-2019-0708,BlueKeep,no "CVE-2019-1181, CVE-2019-1182",DejaBlue,no CVE-2021-34527,PrintNightmare,no Учетная запись создана на момент шифрования: memhash,23.04.2025 00:59:31 (?),yes,no,yes,yes Защита учетных записей от брутфорса не включена. Ставить 20-30. Lockout threshold,Никогда Учетная запись с правами Администратора создана на момент шифрования. Запуск шифровальщика, очистка журналов был из под нее. 23.04.2025 06:04:05.819,Windows Event Log,"Log ""Security"" was cleared by Snikers\memhash." 23.04.2025 06:04:05.819,Windows Event Log,"Log ""Application"" was cleared by Snikers\memhash." 23.04.2025 06:04:05.809,Windows Event Log,"Log ""System"" was cleared by Snikers\memhash." 23.04.2025 00:59:31.438,Local Users,"Local user ""memhash"" was created." ---------- теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Просил добавить Fixlog.txt юзера создали с правами Администратора, из под него затем и шифровали. Проверьте ЛС.

По очистке системы выполните: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [systemsg.exe] => C:\Users\memhash\AppData\Local\Decrypt_ELENOR-corp_info.txt [994 2025-04-22] () [Файл не подписан] HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ Task: {E57E86CC-FB31-4D9A-972E-1AB7A32125F8} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ CHR HKU\S-1-5-21-2184213260-615971735-1779829484-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKU\S-1-5-21-2184213260-615971735-1779829484-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec] 2025-04-23 02:44 - 2025-04-23 02:44 - 000000994 _____ C:\Users\memhash\Desktop\Decrypt_ELENOR-corp_info.txt 2025-04-23 01:02 - 2025-04-23 01:02 - 000000000 ____D C:\Users\memhash\AppData\Roaming\Process Hacker 2 2025-04-23 00:58 - 2025-04-23 00:58 - 000000430 _____ C:\Windows\system32\u1.bat 2025-04-23 06:04 - 2023-02-24 05:42 - 000000000 __SHD C:\Users\memhash\AppData\Local\510DB345-C742-58BB-4CDE-0F349D882429 2025-04-23 01:03 - 2025-04-23 01:03 - 000000000 ____D C:\temp Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ithsgt.sys Скорее всего, какой-то из драйверов несовместим с обновленной системой, и система не загружает его, и предупреждает об этом. Оставьте пока так, это сообщение будет выходить при каждом новом обновлении системы. Можете поискать информацию по этому драйверу. Если драйвер легальный - посмотреть у производителя есть ли новые версии данного драйвера. (проверю немного позже). Поздравляю с успешным обновлением системы. Теперь можно будет поработать какое-то время с системой, убедиться, что все основные приложения работают корректно, затем уже планировать обновление до 23H2.

Добрый день! А какая у вас версия KSC? По скриншотам создаётся впечатление, что порядочно старенькая, я бы предположил 12-ую. Схожая проблема решилась после перехода на актуальную версию. Если вы отметаете вероятность того, что что-то не так с носителями. Другие софты их нормально воспринимают? Можно протестировать глубокое форматирование одной подопытной флешки, тогда она инициализируется заново и если проблема была в ней, то может сразу и решиться. Но это от лукавого, конечно, вариант. Устарелый KSC видится более реалистично.

Публикуем итоги с учетом корректировок по двум вопросам в формате: Ник - Количество правильных ответов

С Днём Рождения!

С Днём Рождения!

Поздравляю!

Поздравляю с Днём Рождения

Поздравляю

С Днём Рождения! С Юбилеем!

@7Glasses Поздравляю!

На данный момент - самостоятельно, т.е. в ручном режиме из наших информационных каналов. В т.ч. на наших форумах появится информация о тестировании бета-релиза новой версии.

Добрый день. В текущей версии нет механизма обновления \ уведомления о его доступности. Рассмотрим данную идею в рамках последующих версий.

Друзья! Что получится, если соединить захватывающий мир кибербезопасности, путешествия по самым невероятным уголкам планеты и щепотку интриги? Правильно - Telegram-канал Евгения Касперского! Это место, где свежие мысли о кибербезопасности чередуются с видами из самых неожиданных точек планеты. Евгений Касперский пишет про киберугрозы и технологии, параллельно выкладывая кадры с ледников, пустынь, мегаполисов и вулканов. Пишет просто о сложном, делится инсайтами и показывает, как выглядит жизнь эксперта мирового уровня. То он на кибер-форуме в Японии, то в древнем городе инков, то в эпицентре кибератаки (почти буквально). И всё это в ленте канала @e_kaspersky. Вдохновившись, мы приготовили для вас викторину по Telegram-каналу Евгения Касперского. Подписаны давно и уверены, что знаете каждый пост? Проверьте себя! Ещё не подписаны? Самое время это исправить и попробовать свои силы в викторине! Все ответы на вопросы викторины вы найдёте в Telegram-канале Евгения Касперского https://t.me/e_kaspersky Готовы к киберпутешествию? Тогда вперёд! НАГРАЖДЕНИЕ Без ошибок — 1500 баллов Одна ошибка — 1300 баллов Две ошибки — 1000 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. ПРАВИЛА ПРОВЕДЕНИЯ Викторина проводится до 20:00 26 апреля 2025 года (время московское). Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины. Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователям @zell и @alexandra (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает. Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки. Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса. Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено. Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.

Жесть вообще в плане настройки, надеюсь продукт активно допиливают чтоб без терминала и конф файлов можно было настроить