Перейти к содержанию

Шифровальщик .KASPERSKY 31.12.22

TVK
 Поделиться

Рекомендуемые сообщения

TVK

TVK

Опубликовано
Опубликовано

Здравствуйте. Помогите пожалуйста с вопросом по расшифровке файлов.
Вводные данные:
-31.12.22 в 05:00 по МСК на ПК сотрудника каким-то образом попал вирус. Предположительно по RDP.
-В течение часа зашифровал весь ПК и отправился по просторам сети на другие ПК.
-По итогу было зашифрованы все файлы на Дисках в открытом доступе для сотрудников. 
-расширение файлов .KASPERSKY

-Дополнительная информация:
-Размер файлов остался прежним, сменилось только расширение.
-при попытке сменить имя (удалить расширение .KASPERSKY, некоторые файлы открываются, но это 1% объема.)
-На начальном ПК сотрудника, откуда был взлом, при открытие любого файла, открывалось письмо с требованиями.
К сожалению, после входа в систему экран выключается через 10 секунд и возможности скопировать файл с требованиями отсутствует. Только фото со смартфона (прикладываю).

 

WhatsApp Image 2023-01-01 at 15.03.32.jpeg

Addition.txt FRST.txt шифрованые файлы.rar

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Здравствуйте. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

        
    CreateRestorePoint:
CloseProcesses:
Task: {12200CF9-E37F-44C6-B9B5-50D4881CB618} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\klcp_update" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1578987537" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1613028729" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1578987536" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1613028727" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\Red Giant Link" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
Task: {EC71894C-9FD9-42F8-8BB0-A32CBEC0A8AF} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
TVK

TVK

Опубликовано
  • Автор
Опубликовано

Здравствуйте. после перезагрузки пропали значки на рабочем столе.

Fixlog.txt

22 часа назад, mike 1 сказал:

Здравствуйте. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

        
    
CreateRestorePoint:
CloseProcesses:
Task: {12200CF9-E37F-44C6-B9B5-50D4881CB618} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\klcp_update" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1578987537" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1613028729" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1578987536" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1613028727" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\Red Giant Link" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
Task: {EC71894C-9FD9-42F8-8BB0-A32CBEC0A8AF} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Здравствуйте. после перезагрузки пропали значки на рабочем столе.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

На форуме с расшифровкой не поможем.

 

Цитата

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Обращайтесь за помощью в техподдержку вашего вендора. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • andrew75
      Kaspersky для Linux
      Автор andrew75
      На сайте выложили дистрибутивы.
      Даже раньше обещанного
    • XOMA302
      Не запускается Kaspersky
      Автор XOMA302
      Привет я сделал все что было указанно в Порядке оформления запроса о помощи CollectionLog-2025.07.30-19.49.zip вот логи что просили прикрепить, помогите люди
    • XOMA302
      Не устанавливается или не запускается Kaspersky
      Автор XOMA302
      я не знаю что вам прикрепить просто читал что вы помогали другим пользователям. Я не хочу просто винду сносить вот и пишу на форум помогите люди(
    • JuffiZ
      Антивирусная программа Kaspersky Endpoint Security
      Автор JuffiZ
      Доброго времени суток. На моем устройстве (ПК) в прошлом времени (около полугода назад) работали в компании Сбермаркет (ныне сбол) оператором и была установлена программа Kaspersky Endpoint Security. Работавший человек уже не работает в вашей компании, а антивирус всё еще работает. Программа сильно мешает. Хотелось бы удалить его, но запрашивает пароль. Куда мне обратиться и что мне с этим делать? 
    • Vseslavs
      Kaspersky kids вопрос
      Автор Vseslavs
      Здравствуйте!
      Я даже как-то пользовался платной версией. Сейчас тоже вновь готов заплатить, но 1 проблема. Время выходит, а ребёнок продолжает все равно играть. Интернет у него есть и игры запускаются. Хотя в разрешённых при блокированном телефоне у него только ватсап календарь, звонки по телефону. Почему, когда время выходит телефон, не блокируется, он все равно продолжает играть? Спасибо
×
×
  • Создать...