Перейти к содержанию

Требуется помощь в восстановлении после атаки SHTORM [deep_77@tutanota.com]


Рекомендуемые сообщения

Добрый день!

Вчера взломали комп с RDP... Надеялся, что проброс портов спасет от пакости, оказалось что нет.

Вот такая картинка была, все файлы с расширением .id[тут их номер-3352].[deep_77@tutanota.com]

Возможно ли восстановить систему и файлы? Что нужно и какие условия?

222Twary.jpg

Ссылка на комментарий
Поделиться на другие сайты

Так там же написано:

1. Инструкции, подготовленные Консультантами, пишутся индивидуально для каждого пользователя.

 

Я эти инструкции и попросил. Это для вас просто, для меня все как в первый раз...

 

Вот прогнал KVRT, нашли какие-то вирусы. Удалили.

Сейчас запустил Farbar, что-то он там крутит, читает... Но какие я должен зашифрованные документы подготовить мне не понятно... И где и каким архивом мне нужно вирус заархивировать и куда-то выложить я тоже не пойму (:-

Farbar закончил. Пишет что файл FRST.txt в той же папке, где FRST (?)... Тут же открылся afqk addition.txt ... с ним что делать?

Ссылка на комментарий
Поделиться на другие сайты

Речь идёт о 2-3 небольших зашифрованных документах и записке с требованием выкупа. Упакуйте их в архив и прикрепите к следующему сообщению.

Логи Farbar тоже нужны.

А про сам вирус есть оговорка - "если его удалось найти". Пока не нужно.

Ссылка на комментарий
Поделиться на другие сайты

А где эту записку про выкуп найти? Этот их файл я закрыл только скрин сделал...

 

Да, сейчас глянул FRST директорию, все файлы с таким же "пиратским" расширением SHTORM как и все остальные. 

FRST.rar

Ссылка на комментарий
Поделиться на другие сайты

Похоже вымогатель активен. Пролечите систему с помощью KRD.

Создавать диск или флешку нужно на другом, здоровом компьютере.

 

9 минут назад, GreenStamp сказал:

Этот их файл я закрыл

Вот сам файл и нужен. Скорее всего с расширением hta.

 

Вероятнее всего тип вымогателя - Phobos. Расшифровки нет, к сожалению.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Sandor сказал:

вымогатель активен. Пролечите систему с помощью KRD.

Пройдите по ссылке. Будут вопросы - задавайте.

Ссылка на комментарий
Поделиться на другие сайты

14 часов назад, Sandor сказал:

Пройдите по ссылке. Будут вопросы - задавайте.

KRD дважды все проверил, вирусов нет, подозрительных объектов нет.

Что делать дальше?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • CBUAleksandrK
      Автор CBUAleksandrK
      Добрый день! Знакомая, с ее слов, скачала книгу в формате doc/docx (Ворд, конкретно формат не знаю, к сожалению, она тоже, т.к. не понимает в этом), сейчас у нее KIS ругается на троян в оперативной памяти, лечение с перезагрузкой, к сожалению, не помогает, тот же самый троян после перезагрузки машины KIS видит вновь. Логи с Автологгера и скрин из KIS прикладываю, надеюсь все корректно оформил. Заранее спасибо!

      CollectionLog-2025.05.13-16.38.zip
    • Мурат Профит
      Автор Мурат Профит
      Здравствуйте!
      Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
      У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
      На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
      Файл шифровальщика не обнаружен.
      Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar
    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Вадим_АнтиВирус
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • RQST
      Автор RQST
      Добрый день!

      Прошу помощи с шифровальщиком mimic / elpaco. Поражена инфраструктура офиса.

      -----------

      Сообщение шифровальщика:

      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is D6F1UYsBfAD8vuYRO-7qBajEYC86q4SkUIPo7z8LpE0*ELPACO-team
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - de_tech@tuta.io
      2) Telegram - @Online7_365  or https://t.me/Online7_365
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.

      -----------

      Пароль на архивы - "virus" (без кавычек)

      root.zip - Файлы из корня диска, в том числе зашифрованные (расширение зашифрованных файлов - .ELPACO-team)
      temp.zip - временные файлы вируса
      F6A3737E-E3B0-8956-8261-0121C68105F3.zip - вирус (запуск через ветку реестра run) по ссылке https://disk.yandex.ru/d/dkHtydu6GhGFEA

      ----

      frst.zip и FS01-S-2024-07-21_09-25-57_v4.15.7v.7z - отчеты
      frst.zip root.zip temp.zip FS01-S-2024-07-21_09-25-57_v4.15.7v.7z
×
×
  • Создать...