Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Помогите пожалуйста с вопросом по расшифровке файлов.
Вводные данные:
-31.12.22 в 05:00 по МСК на ПК сотрудника каким-то образом попал вирус. Предположительно по RDP.
-В течение часа зашифровал весь ПК и отправился по просторам сети на другие ПК.
-По итогу было зашифрованы все файлы на Дисках в открытом доступе для сотрудников. 
-расширение файлов .KASPERSKY

-Дополнительная информация:
-Размер файлов остался прежним, сменилось только расширение.
-при попытке сменить имя (удалить расширение .KASPERSKY, некоторые файлы открываются, но это 1% объема.)
-На начальном ПК сотрудника, откуда был взлом, при открытие любого файла, открывалось письмо с требованиями.
К сожалению, после входа в систему экран выключается через 10 секунд и возможности скопировать файл с требованиями отсутствует. Только фото со смартфона (прикладываю).

 

WhatsApp Image 2023-01-01 at 15.03.32.jpeg

Addition.txt FRST.txt шифрованые файлы.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

       
    CreateRestorePoint:
    CloseProcesses:
    Task: {12200CF9-E37F-44C6-B9B5-50D4881CB618} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\klcp_update" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1578987537" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1613028729" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1578987536" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1613028727" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\Red Giant Link" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
    Task: {EC71894C-9FD9-42F8-8BB0-A32CBEC0A8AF} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. после перезагрузки пропали значки на рабочем столе.

Fixlog.txt

22 часа назад, mike 1 сказал:

Здравствуйте. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

       
    
    CreateRestorePoint:
    CloseProcesses:
    Task: {12200CF9-E37F-44C6-B9B5-50D4881CB618} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\klcp_update" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1578987537" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1613028729" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1578987536" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1613028727" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\Red Giant Link" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
    Task: {4795B0ED-F8D8-481C-BE87-DE55868F1D58} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
    Task: {EC71894C-9FD9-42F8-8BB0-A32CBEC0A8AF} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Здравствуйте. после перезагрузки пропали значки на рабочем столе.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

На форуме с расшифровкой не поможем.

 

Цитата

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Обращайтесь за помощью в техподдержку вашего вендора. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Usoff
      От Usoff
      Здравствуйте! Сегодня тоже подцепил шифровальщика, добавившего эти расширения. Требования содержаться в файле Instruction.txt:
      https://www.dropbox.com/s/h74n5yl9lcjkz6u/Instruction.PNG?dl=0
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Oleg_sour
      От Oleg_sour
      Доброго дня. Подскажите есть ли возможность расшифровать файлы после шифровальщика? Системный диск остался цел, зашифрованы файлы только на диске с общим доступом. А также подскажите пожалуйста алгоритм действий. Не совсем понятно имеется сам вирус на данном диске или он только зашифровал эти файлы? В архиве лог и два текстовых зашифрованный файла. Файлы с требованием выкупа и прочее не обнаружено. Пароль virus
      bighorseball.zip
    • Воробьёв Максим
      От Воробьёв Максим
      Имеем 2 сервера физический и виртуальный.
      С виртуального примерно осенью переезжали на физический.
      Сегодня обнаружили что данные на физическом и виртуальном сервере зашифрованы. шифровальщик меняет расширение файлов.
      Прислали образец файлов в доктор вэб там определили его как Trojan.encoder.35534 и дешифратора нет.
      Прошлись KVRT по физическому серверу обнаруженные вирусы поместили в карантин и там нейтрализовали. На виртуальном KVRT  не отработал.
      в вложении логи с виртуального сервера и архив с примерами заражённых файлов. Есть еще архив с файлов вируса но он не влезает в сообщение по весу.
       
      Addition.txt FRST.txt Профсоюзная.zip
    • Apael
      От Apael
      Добрый день. Предполагаем проникновение через RDP. Просьба помочь.
       
      1_8_CH1_20220514053309.avi
      Instruction.txt start cron1.txt
    • nsgdima
      От nsgdima
      Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру
      На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру.
      Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом:
      "Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д.
      Компьютер пока не перезапускал, возможно поэтому система пока как то работает.
      Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ...
      files.ZIP FRST.txt Addition.txt
×
×
  • Создать...