Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик. [Raptorfiles@yahooweb.co].[AB3F62F5-F38B2CA6]

Vitaly9367
 Поделиться

Рекомендуемые сообщения

Vitaly9367 Новичок

Vitaly9367

Опубликовано
Опубликовано (изменено)

Доброго времени суток. 

После открытия RDP порта, буквально через сутки-полтора подвергся атаке шифровальщика. Шифровальщик забрался на два сервера и убил порядочное кол-во файлов.
Существует ли расшифровка? Если нет, то можно как то подчистить за ним реестр и мусор удалить его? Буду благодарен. 

Прикрепляю данные с двух серверов.

Addition-1.txt Addition-2.txt FRST-1.txt FRST-2.txt virus-1.zip virus-2.zip

Изменено пользователем Vitaly9367
Ссылка на комментарий
Поделиться на другие сайты
Vitaly9367 Новичок

Vitaly9367

Опубликовано
  • Автор
Опубликовано
21 час назад, akoK сказал:

Это Cryakl 2.0.0.0. Для этого вымогателя пока нет способа дешифровки данных. Системы под переустановку или будем смотреть?

Без переустановки. Надо подчистить его мусор и реестр желательно, если он что то вносил

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Здесь будем продолжать с компьютером, логи которого помечены "-1". Для второго создайте отдельную тему во избежание путаницы.

 

Скачайте вложенный файл fixlist.txt и поместите его рядом с файлом FRST64.exe на этот Рабочий стол (C:\Users\v.dementiev\Desktop\)

Запустите FRST64.exe и нажмите кнопку "Исправить".

 

Перезагрузите компьютер вручную.

Там же на рабочем столе появится файл Fixlog.txt, прикрепите его к следующему сообщению.

 

Деинсталлируйте устаревший и прекративший поддержку Adobe Flash Player 26 PPAPI, а также все версии нежелательной "Кнопка "Яндекс" на панели задач".

 

Уменьшите количество администраторов и смените их пароли, также, как и пароли на RDP.

 

fixlist.txt

Ссылка на комментарий
Поделиться на другие сайты
Vitaly9367 Новичок

Vitaly9367

Опубликовано
  • Автор
Опубликовано
3 часа назад, Sandor сказал:

Здравствуйте!

 

Здесь будем продолжать с компьютером, логи которого помечены "-1". Для второго создайте отдельную тему во избежание путаницы.

 

Скачайте вложенный файл fixlist.txt и поместите его рядом с файлом FRST64.exe на этот Рабочий стол (C:\Users\v.dementiev\Desktop\)

Запустите FRST64.exe и нажмите кнопку "Исправить".

 

Перезагрузите компьютер вручную.

Там же на рабочем столе появится файл Fixlog.txt, прикрепите его к следующему сообщению.

 

Деинсталлируйте устаревший и прекративший поддержку Adobe Flash Player 26 PPAPI, а также все версии нежелательной "Кнопка "Яндекс" на панели задач".

 

Уменьшите количество администраторов и смените их пароли, также, как и пароли на RDP.

 

fixlist.txtНедоступно

Файл удален пишет.

Ссылка на комментарий
Поделиться на другие сайты
Vitaly9367 Новичок

Vitaly9367

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Кто пишет? Файл Fixlog.txt не появился?

пишет такое сообщение


 

Извините, возникла проблема

Это вложение недоступно. Оно могло быть удалено или у вас недостаточно прав для просмотра данного файла.

Код ошибки: 2C171/1

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Если решите сохранить зашифрованные файлы "до лучших времен" (в надежде на появление ключа), то вместе с файлами сохраните папку C:\FRST. Там находятся копии удаленных записок с требованием выкупа.

 

04.07.2022 в 08:32, Vitaly9367 сказал:

После открытия RDP порта

Закрывайте или прячьте за VPN, а также смените пароли администраторов и для RDP.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • ratava
      KOZANOSTRA шифровальщик
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Павел Ф.
      Шифровальщик KOZANOSTRA
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
×
×
  • Создать...