n3ww4v3 Шифровальщик .KASPERSKY 31.12.22

1 января, 2023

Здравствуйте. Помогите пожалуйста с вопросом по расшифровке файлов.
Вводные данные:
-31.12.22 в 05:00 по МСК на ПК сотрудника каким-то образом попал вирус. Предположительно по RDP.
-В течение часа зашифровал весь ПК и отправился по просторам сети на другие ПК.
-По итогу было зашифрованы все файлы на Дисках в открытом доступе для сотрудников.
-расширение файлов .KASPERSKY

-Дополнительная информация:
-Размер файлов остался прежним, сменилось только расширение.
-при попытке сменить имя (удалить расширение .KASPERSKY, некоторые файлы открываются, но это 1% объема.)
-На начальном ПК сотрудника, откуда был взлом, при открытие любого файла, открывалось письмо с требованиями.
К сожалению, после входа в систему экран выключается через 10 секунд и возможности скопировать файл с требованиями отсутствует. Только фото со смартфона (прикладываю).

Addition.txt FRST.txt шифрованые файлы.rar

1 января, 2023

Здравствуйте.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
Task: {12200CF9-E37F-44C6-B9B5-50D4881CB618} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\klcp_update" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1578987537" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1613028729" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1578987536" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1613028727" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\Red Giant Link" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
Task: {EC71894C-9FD9-42F8-8BB0-A32CBEC0A8AF} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 1 января, 2023 пользователем mike 1

2 января, 2023

Здравствуйте. после перезагрузки пропали значки на рабочем столе.

Fixlog.txt

22 часа назад, mike 1 сказал:

Здравствуйте.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:


CreateRestorePoint:
CloseProcesses:
Task: {12200CF9-E37F-44C6-B9B5-50D4881CB618} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\klcp_update" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1578987537" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1613028729" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1578987536" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1613028727" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\Red Giant Link" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
Task: {EC71894C-9FD9-42F8-8BB0-A32CBEC0A8AF} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Здравствуйте. после перезагрузки пропали значки на рабочем столе.

Fixlog.txt

2 января, 2023

Лицензия на антивирус имеется?

5 января, 2023

02.01.2023 в 16:10, mike 1 сказал:

Лицензия на антивирус имеется?

Нет. Лицензий нет.

5 января, 2023

На форуме с расшифровкой не поможем.

Цитата

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Обращайтесь за помощью в техподдержку вашего вендора.

n3ww4v3 Шифровальщик .KASPERSKY 31.12.22

Рекомендуемые сообщения

TVK

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

TVK

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

TVK

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum