Перейти к содержанию

Шифровальщик .KASPERSKY 31.12.22

TVK
 Share

Рекомендуемые сообщения

TVK Новичок

TVK

Опубликовано
Опубликовано

Здравствуйте. Помогите пожалуйста с вопросом по расшифровке файлов.
Вводные данные:
-31.12.22 в 05:00 по МСК на ПК сотрудника каким-то образом попал вирус. Предположительно по RDP.
-В течение часа зашифровал весь ПК и отправился по просторам сети на другие ПК.
-По итогу было зашифрованы все файлы на Дисках в открытом доступе для сотрудников. 
-расширение файлов .KASPERSKY

-Дополнительная информация:
-Размер файлов остался прежним, сменилось только расширение.
-при попытке сменить имя (удалить расширение .KASPERSKY, некоторые файлы открываются, но это 1% объема.)
-На начальном ПК сотрудника, откуда был взлом, при открытие любого файла, открывалось письмо с требованиями.
К сожалению, после входа в систему экран выключается через 10 секунд и возможности скопировать файл с требованиями отсутствует. Только фото со смартфона (прикладываю).

 

WhatsApp Image 2023-01-01 at 15.03.32.jpeg

Addition.txt FRST.txt шифрованые файлы.rar

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Здравствуйте. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

        
    CreateRestorePoint:
CloseProcesses:
Task: {12200CF9-E37F-44C6-B9B5-50D4881CB618} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\klcp_update" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1578987537" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1613028729" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1578987536" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1613028727" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\Red Giant Link" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
Task: {EC71894C-9FD9-42F8-8BB0-A32CBEC0A8AF} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
TVK Новичок

TVK

Опубликовано
  • Автор
Опубликовано

Здравствуйте. после перезагрузки пропали значки на рабочем столе.

Fixlog.txt

22 часа назад, mike 1 сказал:

Здравствуйте. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

        
    
CreateRestorePoint:
CloseProcesses:
Task: {12200CF9-E37F-44C6-B9B5-50D4881CB618} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\klcp_update" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1578987537" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1613028729" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1578987536" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1613028727" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\Red Giant Link" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
Task: {EC71894C-9FD9-42F8-8BB0-A32CBEC0A8AF} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Здравствуйте. после перезагрузки пропали значки на рабочем столе.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

На форуме с расшифровкой не поможем.

 

Цитата

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Обращайтесь за помощью в техподдержку вашего вендора. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      Шифровальщик just
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      Шифровальщик
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • ArtemKu
      Не устанавливается Kaspersky Premium
      От ArtemKu
      Здравствуйте, не устанавливается Kaspersky Premium. В прошлом разделе не выявили причину. Ссылка на форум прикрепил. 
       
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Depos1t
      Kaspersky обнаружил MEM:Trojan.Win32.SEPEH.gen
      От Depos1t
      Добрый день, пользователи сайта и простые обыватели сети интернет. Хотел решить проблему с подключением Discord и друг скинул прогу которая должна была решить вопрос, но при ее запуске на компе появился троян. Сам Касперский не справляется с его удалением, каждый раз предлагает лечить но при новом запуске опять та же проблема. Прошу, помогите доверчивому пользователю сети интернет избавиться от этой "бяки" без потери файлов и переустановки ОС, заранее благодарен за помощь. Ниже прикрепил скрин того, что касперский обнаружил вирус

×
×
  • Создать...