Перейти к содержанию

Шифровальщик .KASPERSKY 31.12.22

TVK
 Поделиться

Рекомендуемые сообщения

TVK Новичок

TVK

Опубликовано
Опубликовано

Здравствуйте. Помогите пожалуйста с вопросом по расшифровке файлов.
Вводные данные:
-31.12.22 в 05:00 по МСК на ПК сотрудника каким-то образом попал вирус. Предположительно по RDP.
-В течение часа зашифровал весь ПК и отправился по просторам сети на другие ПК.
-По итогу было зашифрованы все файлы на Дисках в открытом доступе для сотрудников. 
-расширение файлов .KASPERSKY

-Дополнительная информация:
-Размер файлов остался прежним, сменилось только расширение.
-при попытке сменить имя (удалить расширение .KASPERSKY, некоторые файлы открываются, но это 1% объема.)
-На начальном ПК сотрудника, откуда был взлом, при открытие любого файла, открывалось письмо с требованиями.
К сожалению, после входа в систему экран выключается через 10 секунд и возможности скопировать файл с требованиями отсутствует. Только фото со смартфона (прикладываю).

 

WhatsApp Image 2023-01-01 at 15.03.32.jpeg

Addition.txt FRST.txt шифрованые файлы.rar

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Здравствуйте. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

        
    CreateRestorePoint:
CloseProcesses:
Task: {12200CF9-E37F-44C6-B9B5-50D4881CB618} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\klcp_update" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1578987537" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1613028729" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1578987536" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1613028727" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\Red Giant Link" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
Task: {EC71894C-9FD9-42F8-8BB0-A32CBEC0A8AF} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
TVK Новичок

TVK

Опубликовано
  • Автор
Опубликовано

Здравствуйте. после перезагрузки пропали значки на рабочем столе.

Fixlog.txt

22 часа назад, mike 1 сказал:

Здравствуйте. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

        
    
CreateRestorePoint:
CloseProcesses:
Task: {12200CF9-E37F-44C6-B9B5-50D4881CB618} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\klcp_update" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1578987537" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1613028729" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1578987536" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1613028727" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\Red Giant Link" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
Task: {EC71894C-9FD9-42F8-8BB0-A32CBEC0A8AF} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Здравствуйте. после перезагрузки пропали значки на рабочем столе.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

На форуме с расшифровкой не поможем.

 

Цитата

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Обращайтесь за помощью в техподдержку вашего вендора. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • andrew75
      Kaspersky для Linux
      Автор andrew75
      На сайте выложили дистрибутивы.
      Даже раньше обещанного
    • Vseslavs
      Kaspersky kids вопрос
      Автор Vseslavs
      Здравствуйте!
      Я даже как-то пользовался платной версией. Сейчас тоже вновь готов заплатить, но 1 проблема. Время выходит, а ребёнок продолжает все равно играть. Интернет у него есть и игры запускаются. Хотя в разрешённых при блокированном телефоне у него только ватсап календарь, звонки по телефону. Почему, когда время выходит телефон, не блокируется, он все равно продолжает играть? Спасибо
    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Шифровальщик KOZANOSTRA
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
×
×
  • Создать...